我想使用Spring Security设置一个中央认证/授权服务器,从中可以获取JWT令牌,然后我可以使用它访问另一个Spring Security备份的REST服务器上的受限资源。Spring Security JWT和Oauth2
这里是我的流程:
1)HTML JS /手机等客户端身份验证服务器进行身份验证,以获得JWT令牌 2)客户端的HTTP标头发送此令牌REST服务器来获得对安全资源
访问我认为JWT最适合这种情况,因为它可以包含所有相关数据,而REST服务器可以完全无状态,并简单地解码令牌以获得REST服务器上的所有必要数据(角色,CLientid,电子邮件...)。
Oauth2是否是正确的选择,如果有的话可以有人亲切地指向我的方向?如果JWT不是正确的选择,我可以接受其他解决方案:)我应该提到,在我的情况下,也可以在REST服务器上从数据库加载客户端信息,但它不应该负责认证用户这意味着没有用户名/密码检查,只是令牌解码/验证...)
将UAA变成社交网络集成和启用Ajax的SSO有多困难。我想我会在UAA本身添加这些功能。可能oauth2不适用于SSO,但它是否支持单一注销机制? – beku8
不太难。但是,你需要什么?你想为社会网络使用sso并发行你自己的代币?如果是这样,那么你只需要改变认证过程。 OAuth2并不是专门为sso设计的,但很多人都是这样使用它 - 这就是为什么Facebook例如(UAA本身公开/ user_info出于同样的目的)。 –
它会给使用spring security + spring oauth2 + spring jwt编写自定义代码的好处,而不是使用uaa吗? – user1595858