基于弹簧安全性的令牌认证

Question

我试图为弹性安全性的HTTP api启用基于令牌的认证。

环顾四周，我看到有关实现过滤器和处理器一样

Spring Security authentication via token

Spring Security 3.2 Token Authentication

有一个非常有趣的KeyBasedPersistenceTokenService类的答案。

春季安全中是否没有过滤器或构建认证机制所需的其他元素？

Answer 1

在春季安全的Token接口是相当抽象的 - 你需要提供自己的实现来把你提工艺实际的认证信息，以及自己发出令牌身份验证的用户或客户终端，以及过滤器受保护资源上的标记（您发布的其中一个链接建议使用AbstractPreAuthenticatedProcessingFilter，这是正确的）。没有一种适合所有解决方案的解决方案。

使用OAuth2可能会更好，因为它是一个标准，并在Spring OAuth中单独支持。至少你可以通过这种方式获得所有这些功能。

另一个令人感兴趣的令牌实现是Github的“安全http” - 它们为您提供一个令牌，并将其用作HTTP基本身份验证（广泛支持的客户端以及Spring Security中的开箱即用）中的密码。如果你在Spring Security中实现它，你只需要插入一个UserDetailsService（并且将它挂接到一些令牌UI）。