2011-04-03 43 views
2

我正在一個網站上工作,我打算嚴格使用OAuth進行用戶驗證。我從來沒有實現會話管理/用戶身份驗證;所以 - 自然 - 我正在閱讀很多如何完成這個任務。在未來的OAuth實施中,我應該如何在Tomcat上實施會話管理/認證?

我遇到的問題是,有很多用於設置領域,身份驗證等的事情的例子似乎都依賴於用戶/密碼範例進行身份驗證。完成OAuth的要點是首先避免這一點!

這就是說;實際上我現在不在尋找完整的OAuth實現的例子。我知道我需要爲自己理解這一點。但考慮到未來的OAuth實施;我應該如何組織我的用戶認證/會話管理,以便讓我能夠繼續開發我真正關心的網站上的功能?我想我可以爲此一起扔一些東西;但我只是擔心,我將成爲一個OAuth實施的鞋子,而不是現在做一些事情,這使我可以爲其制定基本框架,然後轉向其他事情。

所以;有沒有人知道在Tomcat 7上爲OAuth奠定基礎的好例子?例如,我應該使用哪種身份驗證機制(基本,摘要等),或者我應該如何在數據庫中表示用戶憑據?

我知道這是一個模糊的問題;所以我不希望有人出來告訴我所有我需要知道的答案。我只是希望在這裏指出正確的方向。

回答

1

也許Spring Security會有用?您的web應用程序可以利用Spring Security並使用您需要的任何登錄機制(即,現在可以執行默認的基於表單的身份驗證或基本身份驗證,並在準備就緒時使用OAuth實現替換login/auth部分),但Spring Security仍然可以管理授權給Web應用程序中的特定資源。

有人也建立了OAuth for Spring Security,所以它可能是一個有用的除了你周圍的網絡應用程序。

+0

春天是我在招聘廣告上看到的那些東西之一,但從來沒有真正看過它會帶來什麼。 +1的有用信息。我將通讀教程,然後將其標記爲答案(可能需要幾天)。 Tks:D – Dave 2011-04-03 16:07:15

+0

我打算接受這個答案;即使我不打算使用它。我將重新發明輪子,並使用servlet api中提供的機制來完成我的大部分安全工作。看起來Spring會滿足我的需求,而且我經歷的教程展示了你所說的所有事情;但我越注重用戶認證,我越發現我有很多東西需要學習。在我的網站實施的任何其他方面可能比我做得更多。 – Dave 2011-04-08 02:45:46