我正在开发一个Web服务项目,向合作伙伴提供数据。我们的应用程序真的很轻,只有少数API。由于时间限制和内部预先存在的知识,我们选择了Spring MVC/Spring Security路径来为这些宁静的API提供服务。基于文件的Spring Security
无论如何,这是一个B2B项目,我们只希望那个合作伙伴打我们的服务器。所以它似乎有点过分杀死修改是非常小的数据库模式添加表,只包含1个用户访问记录该合作伙伴...
听到有人说,虽然有可能使用加密文件,或在至少一个文件的密码信息被加密,而不是数据库来保存Spring Security用户的访问信息......这是真的吗?如果是任何人都可以指向我的一些参考?我不能在第一眼发现在谷歌相关的任何东西... :(
感谢
http://www.mularien.com/blog/2008/07/07/5-minute-guide-to-spring-security/
见“”的认证供应商下;这使您可以使用加密口令(如果你只有一个用户,并且你需要一个外部文件中的信息,那么你可以使用属性文件配置占位符来简单地指定 $ {user.1.id} $ {user.1.passwordenc} ,等等...有点hacky,但它会工作。
这是非常可能的。事实上,你可以做到这一点,没有c oding;将凭证直接包含在定义Spring Security的XML中非常简单。你通常在例子中看到这个,然后警告“不要这样做!”
如果内部安全没有什么大不了,并且您并不担心开发人员能够看到您的密码(好像他们需要它,嘿!),并且没有其他人可能访问您的配置文件,是一个快速,简单但可行的解决方案。
我打算发表这篇文章,但我已经开始在Spring Security文档中挖掘我正在谈论的示例,我会回来的!
更新
Trever希克是用例子有点快。我心中有一个不同的例子,但他的代码正好显示了我在说什么。您使用XML定义您的安全提供商,并在那里提供用户ID /密码。网上有很多实用程序可供您使用MD5或SHA编码您的密码,因此您可以将其剪切并粘贴到文件中。
您需要实现新的org.springframework.security.core.userdetails.UserDetailsService,该文件从文件读取用户信息(用户名,密码,启用标志和权限)。我不知道是否有人已经实施它。