從Spring Security中的另一個REST API身份驗證到REST API

Question

我有一個關於如何設計安全性問題的問題。

實際上，我們有一個受Spring Security保護的API。 它基於簡單的UserDetails安全模式。

現在，我們正在針對另一個數據庫開發另一個API（在不久的將來）部署在另一個域上，但是身份驗證信息將與第一個API相同。

因此，我想知道如何在模型中設計身份驗證。 其實我在想類似的東西：

請問您對此設計有何建議？

另一個問題是如何在Spring Security中實現該功能，尤其是第二API上的store＆validate令牌？

Answer 1

我將authentifaction部分提取到自己的api中，該api僅處理登錄和令牌生成。 令牌將存儲在TokenStore（即ad atabase）中，並與之一起存儲用戶詳細信息和他可以使用的api。 瀏覽器將帶有每個請求的令牌發送到您的api 1和api2。他們可以根據TokenStore檢查令牌，然后驗證用戶是否有權訪問此api。

您可以為此使用spring-security-oauth2，但必須對令牌生成工作流程進行一些調整。 在這種情況下，您的UI應用將是授權服務器，並為登錄用戶透明地生成令牌，並將其提供給在瀏覽器中運行的部件。 您在瀏覽器中的應用需要在每次調用api 1或2時發送此令牌。Api1和2將是不同的資源服務器，但要檢查相同的令牌庫。