在未來的OAuth實施中，我應該如何在Tomcat上實施會話管理/認證？

Question

我正在一個網站上工作，我打算嚴格使用OAuth進行用戶驗證。我從來沒有實現會話管理/用戶身份驗證;所以 - 自然 - 我正在閱讀很多如何完成這個任務。

我遇到的問題是，有很多用於設置領域，身份驗證等的事情的例子似乎都依賴於用戶/密碼範例進行身份驗證。完成OAuth的要點是首先避免這一點！

這就是說;實際上我現在不在尋找完整的OAuth實現的例子。我知道我需要爲自己理解這一點。但考慮到未來的OAuth實施;我應該如何組織我的用戶認證/會話管理，以便讓我能夠繼續開發我真正關心的網站上的功能？我想我可以爲此一起扔一些東西;但我只是擔心，我將成爲一個OAuth實施的鞋子，而不是現在做一些事情，這使我可以爲其制定基本框架，然後轉向其他事情。

所以;有沒有人知道在Tomcat 7上爲OAuth奠定基礎的好例子？例如，我應該使用哪種身份驗證機制（基本，摘要等），或者我應該如何在數據庫中表示用戶憑據？

我知道這是一個模糊的問題;所以我不希望有人出來告訴我所有我需要知道的答案。我只是希望在這裏指出正確的方向。

Answer 1

也許Spring Security會有用？您的web應用程序可以利用Spring Security並使用您需要的任何登錄機制（即，現在可以執行默認的基於表單的身份驗證或基本身份驗證，並在準備就緒時使用OAuth實現替換login/auth部分），但Spring Security仍然可以管理授權給Web應用程序中的特定資源。

有人也建立了OAuth for Spring Security，所以它可能是一個有用的除了你周圍的網絡應用程序。