基於彈簧安全性的令牌認證

Question

我試圖爲彈性安全性的HTTP api啓用基於令牌的認證。

環顧四周，我看到有關實現過濾器和處理器一樣

Spring Security authentication via token

Spring Security 3.2 Token Authentication

有一個非常有趣的KeyBasedPersistenceTokenService類的答案。

春季安全中是否沒有過濾器或構建認證機制所需的其他元素？

Answer 1

在春季安全的Token接口是相當抽象的 - 你需要提供自己的實現來把你提工藝實際的認證信息，以及自己發出令牌身份驗證的用戶或客戶終端，以及過濾器受保護資源上的標記（您發佈的其中一個鏈接建議使用AbstractPreAuthenticatedProcessingFilter，這是正確的）。沒有一種適合所有解決方案的解決方案。

使用OAuth2可能會更好，因爲它是一個標準，並在Spring OAuth中單獨支持。至少你可以通過這種方式獲得所有這些功能。

另一個令人感興趣的令牌實現是Github的「安全http」 - 它們爲您提供一個令牌，並將其用作HTTP基本身份驗證（廣泛支持的客戶端以及Spring Security中的開箱即用）中的密碼。如果你在Spring Security中實現它，你只需要插入一個UserDetailsService（並且將它掛接到一些令牌UI）。