我正在開發一個Web服務項目,向合作伙伴提供數據。我們的應用程序真的很輕,只有少數API。由於時間限制和內部預先存在的知識,我們選擇了Spring MVC/Spring Security路徑來爲這些寧靜的API提供服務。基於文件的Spring Security
無論如何,這是一個B2B項目,我們只希望那個合作伙伴打我們的服務器。所以它似乎有點過分殺死修改是非常小的數據庫模式添加表,只包含1個用戶訪問記錄該合作伙伴...
聽到有人說,雖然有可能使用加密文件,或在至少一個文件的密碼信息被加密,而不是數據庫來保存Spring Security用戶的訪問信息......這是真的嗎?如果是任何人都可以指向我的一些參考?我不能在第一眼發現在谷歌相關的任何東西... :(
感謝
http://www.mularien.com/blog/2008/07/07/5-minute-guide-to-spring-security/
見「」的認證供應商下;這使您可以使用加密口令(如果你只有一個用戶,並且你需要一個外部文件中的信息,那麼你可以使用屬性文件配置佔位符來簡單地指定 $ {user.1.id} $ {user.1.passwordenc} ,等等...有點hacky,但它會工作。
這是非常可能的。事實上,你可以做到這一點,沒有c oding;將憑證直接包含在定義Spring Security的XML中非常簡單。你通常在例子中看到這個,然後警告「不要這樣做!」
如果內部安全沒有什麼大不了,並且您並不擔心開發人員能夠看到您的密碼(好像他們需要它,嘿!),並且沒有其他人可能訪問您的配置文件,是一個快速,簡單但可行的解決方案。
我打算髮表這篇文章,但我已經開始在Spring Security文檔中挖掘我正在談論的示例,我會回來的!
更新
Trever希克是用例子有點快。我心中有一個不同的例子,但他的代碼正好顯示了我在說什麼。您使用XML定義您的安全提供商,並在那裏提供用戶ID /密碼。網上有很多實用程序可供您使用MD5或SHA編碼您的密碼,因此您可以將其剪切並粘貼到文件中。
您需要實現新的org.springframework.security.core.userdetails.UserDetailsService,該文件從文件讀取用戶信息(用戶名,密碼,啓用標誌和權限)。我不知道是否有人已經實施它。