在普通基于浏览器的web应用中，我们的验证鉴权一般使用sessionid实现，即验证通过时服务端返回一个sessionid，在cookies中。以后的每次请求都在请求头中设置cookies的值为返回的sessionid，即标志该请求是验证通过的。

在android应用中，我们可以通过用户名密码去请求登陆接口，得到服务端响应的sessionid，持久化存储起来，每次请求网络的时候都带上该sessionid，即可验证。

问题是，验证通过后的行为不合适。Web应用中验证通过后一般会重定向到之前请求页或首页，但是android不能接受redirect响应。所以应该需要为android应用开发一套接口，尽可能的重用验证鉴权逻辑。

我们要实现的这个功能属于验证成功后的行为，所以显然，应该在登陆过滤器中去修改，登陆过滤器中有一个authenticationSuccessHandler接口，项目之前采用的是org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler实例。其中的onAuthenticationSuccess方法主要逻辑在handle()方法中。查看handle方法源码，最重要的一条是redirectStrategy.sendRedirect(request, response, targetUrl);很明显，这就是我们要修改的地方。redirectStrategy默认只有一个实现DefaultRedirectStrategy，其主要的方法如下：

public void sendRedirect(HttpServletRequest request,HttpServletResponse response,
        String url) throws IOException {
    String redirectUrl = calculateRedirectUrl(request.getContextPath(), url);
    redirectUrl = response.encodeRedirectURL(redirectUrl);
    if (logger.isDebugEnabled()) {
        logger.debug("Redirecting to '" + redirectUrl + "'");
    }
    response.sendRedirect(redirectUrl);
}

该方法通过response来sendredirect到目的地址。

我们要实现的是，android设备验证成功后不用redirect，而是返回一个标 记，在此就很好实现了。只需要在安卓设备发送登陆请求时添加一个字段，表明是安卓设备，我们在重新实现以下这个sendRedirect方法，redirect之前首先判断以下request是否含有android设备标记即可，然后分情况来决定是否redirect。