我有一个运行在tomcat 7上的Swing客户端和一个服务器，它们使用Spring(3.1)HTTP调用程序相互通信。到目前为止，该通信工作正常(即使使用TSL也可以)，但是现在我试图添加Spring Security。

旁注:在典型的Web应用程序中，我将使用基本身份验证来对用户进行身份验证。在我的CustomAuthenticationProvider返回用户的Authentication对象之后，一切都“正常”，这意味着在每个进一步的请求上，都会自动设置SecurityContext。我猜登录名将返回一个会话密钥给客户端，该密钥在每次请求中发送以标识会话。

这几乎就是我正在使用HTTP-Invoker寻找的东西。目前，似乎我在每个请求上都得到一个新的上下文，这很糟糕，因为我的customAuthenticationManager.authenticate(Authentication auth)方法非常昂贵，实际上每个用户会话只能调用一次。

任何想法？

编辑我在http://forum.springsource.org/showthread.php?10764-Maintaing-State-while-using-HttpInvoker上发现了一些提示，但是由于此链接已有8年的历史了，所以我希望有一个更简单的解决方案。

我现在找到了解决方案。首先，您需要知道spring-security部分与Web应用程序中的部分完全相同(很棒)。

在客户端，您需要更复杂的HTTP客户端实现。我使用了org.springframework.remoting.httpinvoker.HttpComponentsHttpInvokerRequestExecutor。在服务器端，可以使用create-session="always" -element的<http -Attribute来确保始终创建会话。但是，我发现最好自己创建会话(只需调用httpServletRequest.getSession()即可创建会话(如果不存在的话))，因为这样您可以指定何时执行此操作。就我而言，仅当身份验证成功时，我才在我的authenticationProvider中创建会话。