我試圖爲彈性安全性的HTTP api啓用基於令牌的認證。基於彈簧安全性的令牌認證
環顧四周,我看到有關實現過濾器和處理器一樣
Spring Security authentication via token
Spring Security 3.2 Token Authentication
有一個非常有趣的KeyBasedPersistenceTokenService類的答案。
春季安全中是否沒有過濾器或構建認證機制所需的其他元素?
我試圖爲彈性安全性的HTTP api啓用基於令牌的認證。基於彈簧安全性的令牌認證
環顧四周,我看到有關實現過濾器和處理器一樣
Spring Security authentication via token
Spring Security 3.2 Token Authentication
有一個非常有趣的KeyBasedPersistenceTokenService類的答案。
春季安全中是否沒有過濾器或構建認證機制所需的其他元素?
在春季安全的Token
接口是相當抽象的 - 你需要提供自己的實現來把你提工藝實際的認證信息,以及自己發出令牌身份驗證的用戶或客戶終端,以及過濾器受保護資源上的標記(您發佈的其中一個鏈接建議使用AbstractPreAuthenticatedProcessingFilter
,這是正確的)。沒有一種適合所有解決方案的解決方案。
使用OAuth2可能會更好,因爲它是一個標準,並在Spring OAuth中單獨支持。至少你可以通過這種方式獲得所有這些功能。
另一個令人感興趣的令牌實現是Github的「安全http」 - 它們爲您提供一個令牌,並將其用作HTTP基本身份驗證(廣泛支持的客戶端以及Spring Security中的開箱即用)中的密碼。如果你在Spring Security中實現它,你只需要插入一個UserDetailsService
(並且將它掛接到一些令牌UI)。
我一直在尋找spring-OAuth2,但我被困在非常複雜的配置需要 – Rafael