Spring Security 3.2令牌認證
[英]Spring Security 3.2 Token Authentication
問題描述
我知道這已經被問到了,但是我無法讓它發揮作用。 以下是我想要完成的事情:
我使用Spring Security 3.2來保護類似REST的服務。 沒有服務器端會話。 我沒有使用基本身份驗證,因為這意味着我需要將用戶密碼存儲在客戶端的cookie中。 否則,用戶需要在每次刷新/更改頁面時登錄。 存儲令牌是我猜的較小的邪惡。
- Web客戶端(瀏覽器,移動應用程序)調用類似REST的URL以使用用戶名和密碼登錄“/ login”
- 服務器對用戶進行身份驗證,並將令牌發送回客戶端
- 客戶端存儲令牌並將其添加到每個api調用的http請求頭中
- 服務器檢查令牌的有效性並相應地發送響應
我甚至沒有看過令牌生成部分。 我知道它是倒退的,但我想首先實現令牌驗證部分。
我試圖通過使用自定義文件管理器(AbstractAuthenticationProcessingFilter的實現)來實現這一點,但我似乎對它有錯誤的想法。
像這樣定義:
public TokenAuthenticationFilter() {
super("/");
}
只會觸發此精確網址的過濾器。 我堅持一些示例實現,它調用AbstractAuthenticationProcessingFilter#requiresAuthentication,它不接受通配符。 我當然可以改變這種行為,但這讓我覺得我走錯了路。
我也開始實現自定義AuthenticationProvider。 也許這是正確的事情? 有人能給我一個正確的方向嗎?
1 個解決方案
解決方案1
1 2013-08-09 09:38:47
我認為預驗證過濾器更適合您的場景。 覆蓋AbstractPreAuthenticatedProcessingFilter的getPrincipal和getCredentials方法。 如果標頭中沒有令牌,則從getPrincipal返回null。
流:
- 用戶首次登錄,沒有傳遞頭,因此在securityContext中沒有設置身份驗證對象,正常的身份驗證過程如下,即ExceptionTranslation過濾器根據表單登錄過濾器或您的自定義authenticationEntryPoint將用戶重新編號為/ login頁面
- 身份驗證成功后,用戶請求安全URL,pre-auth過濾器從securityContext中設置的頭認證對象獲取令牌,如果用戶有權訪問,則允許他訪問安全URL
如何配置spring security 3.2以使用java配置使用dao身份驗證和自定義身份驗證過濾器
[英]How to configure spring security 3.2 to use dao authentication and custom authentication filter using java config
Spring 使用 Spring 安全和 Keycloak 啟動,僅提供匿名身份驗證令牌
[英]Spring Boot with Spring Security and Keycloak only providing Anonymous Authentication Token
使用Spring Security 3.2,Spring Ldap 2.0和JavaConfig進行Active Directory身份驗證
[英]Active Directory Authentication using Spring Security 3.2, Spring Ldap 2.0 and JavaConfig
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Spring Security令牌認證+ JSESSION
基於Spring Security Token的身份驗證
基於Spring安全性的令牌認證
Spring Security Token身份驗證如何進行身份驗證?
如何在Java中使用身份驗證令牌進行Spring安全性
Spring 安全性 - 使用請求主機名進行令牌身份驗證
如何配置spring security 3.2以使用java配置使用dao身份驗證和自定義身份驗證過濾器
Spring 使用 Spring 安全和 Keycloak 啟動,僅提供匿名身份驗證令牌
使用Spring Security 3.2,Spring Ldap 2.0和JavaConfig進行Active Directory身份驗證
Spring Security 3.2 Java配置
相關標簽