春季安全和外部应用程序进行身份验证（单点登录）

Question

我有一个基于Spring的应用程序，为用户公开3个身份验证选项。基于表单，Facebook连接和从外部应用程序单点登录。我不确定验证最后一个选项的正确方法。

应用A（春季安全为主） 应用B（非基于弹簧的遗留应用程序）

安全流量： - 当应用一个受保护的资源请求和用户没有通过验证，应用遗嘱重定向到应用程序B，用户将被提示登录表单并流经应用程序B的安全流程。然后，应用程序B将对应用程序A执行一个HTTP POST（通过初始请求发送的回调url参数），该应用程序由XML组成，将在应用程序A中验证其有效性，如果通过，应在应用程序A中验证用户身份。是使用Spring Security的这种情况的最佳方法？

Answer 1

请参阅Configuring Spring Security 3.x to have multiple entry points。就像@limc在该问题中所做的一样，您可以构建两个不同的标记和两个提供程序来处理身份验证。但是我认为你可以使用一个提供者，在这种情况下，你必须在auth令牌中传递不同的细节（因为我认为XML中没有密码），并且根据数据的细节，提供者将验证用户没有密码）。