使用Jersey和Spring的授權和身份驗證

Question

我正在使用球衣和Spring 3（包括spring-security）編寫RESTfull服務，並試圖弄清楚如何實現身份驗證和授權。
我對運動衫和春天都很新，所以這一切都有點令人困惑......
用戶和他們的角色在數據庫中定義。 （而不是在web.xml或Tomcat的用戶自定義）

下面是我對授權一部分的想法：
因爲我的服務，並不必然成爲網絡應用程序，授權應在完成REST資源（而不是頁面） - 我該怎麼做？我看到了@RolesAllowed註釋，但它看起來太簡單了，我需要更多的邏輯。我想我必須以某種方式激活彈簧安全性，以使用它們提供的授權功能。
有關如何做到這一點的任何建議？

對於認證部分似乎我應該使用Spring Security的的AuthenticationManager和SessionManagement但我不知道如何將其連接到REST API：
1.怎麼說得到驗證請求看起來應該API ？
2.如果Spring處理我的會話，如何將授權添加到我的REST資源中？

我真的很感激，如果你能幫我清理一下東西...

謝謝！

Answer 1

對不起，如果您在Spring Security技術訣竅的早期階段，我必須建議您先完成excellent tutorial。我相信你的問題會被自動回答，你會在這裏學到很多有價值的東西。