我试图为弹性安全性的HTTP api启用基于令牌的认证。基于弹簧安全性的令牌认证
环顾四周,我看到有关实现过滤器和处理器一样
Spring Security authentication via token
Spring Security 3.2 Token Authentication
有一个非常有趣的KeyBasedPersistenceTokenService类的答案。
春季安全中是否没有过滤器或构建认证机制所需的其他元素?
我试图为弹性安全性的HTTP api启用基于令牌的认证。基于弹簧安全性的令牌认证
环顾四周,我看到有关实现过滤器和处理器一样
Spring Security authentication via token
Spring Security 3.2 Token Authentication
有一个非常有趣的KeyBasedPersistenceTokenService类的答案。
春季安全中是否没有过滤器或构建认证机制所需的其他元素?
在春季安全的Token
接口是相当抽象的 - 你需要提供自己的实现来把你提工艺实际的认证信息,以及自己发出令牌身份验证的用户或客户终端,以及过滤器受保护资源上的标记(您发布的其中一个链接建议使用AbstractPreAuthenticatedProcessingFilter
,这是正确的)。没有一种适合所有解决方案的解决方案。
使用OAuth2可能会更好,因为它是一个标准,并在Spring OAuth中单独支持。至少你可以通过这种方式获得所有这些功能。
另一个令人感兴趣的令牌实现是Github的“安全http” - 它们为您提供一个令牌,并将其用作HTTP基本身份验证(广泛支持的客户端以及Spring Security中的开箱即用)中的密码。如果你在Spring Security中实现它,你只需要插入一个UserDetailsService
(并且将它挂接到一些令牌UI)。
我一直在寻找spring-OAuth2,但我被困在非常复杂的配置需要 – Rafael