Spring安全性和Spring社會外部認證
[英]Spring Security and Spring Social External Authentication
問題描述
如今,隨着身份驗證變得越來越困難,我決定最好將身份驗證留給在安全性方面享有良好聲譽的公司,例如Twitter和LinkedIn。
我已經閱讀了Spring Security和Spring Social的文檔,但找不到有關完全將身份驗證交給第三方的任何信息。 他們只談論擁有自己的用戶數據庫的混合系統。
從Spring的當前版本開始,是否可以做這樣的事情?
我正在使用Spring Boot Security 1.2和Spring Boot Social 1.2.1,但是如果有必要,升級對我來說不是問題。
2 個解決方案
解決方案1
1 2015-01-27 13:35:59
沒錯,您仍然需要將遠程身份驗證(即來自OAuth提供程序)“鏈接”到本地用戶模型。
您的系統正在將身份驗證委派給遠程頒發機構,以標識用戶是誰。
一種明智的處理方式是,例如,一旦用戶登錄到OAuth提供程序,並且收到了來自用戶/提供者的回調,便會根據其在以下位置的主體在本地持久性存儲中自動為其創建用戶模型: OAuth授權機構(通常是他們的電子郵件地址)
這樣,用戶無需手動在您的服務上注冊,但是您仍然可以獲得到實際本地模型的強大鏈接,並且可以基於本地角色/組等應用自己的授權檢查。
解決方案2
1 2015-01-28 21:43:41
Stormpath的存在正是出於您指定的確切原因:很難正確解決,您最好將其外包給具有安全專家的團隊(即使您是安全專家,為什么還要花時間在上面?)。 你試過了嗎?
有一個很棒的Java SDK ,內置了到Facebook,Google,GitHub等的社交登錄集成, Java Webapp支持和Spring Security集成 。
披露:我是Stormpath的CTO。
通過Spring Security支持身份驗證並通過Spring Social進行Linkedin登錄
[英]Supporting authentication with spring security and Linkedin login via spring social
多個身份驗證提供程序:/ j_spring_security_check和社交登錄
[英]Multiple authentication providers: /j_spring_security_check and social login
使用Google和Spring Security和Spring Social登錄
[英]Login using Google with Spring Security and Spring Social
Spring Security和Spring Social在不同的登錄頁面中
[英]Spring Security and Spring Social in different login pages
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Spring安全和自定義外部身份驗證
Spring Security:外部認證和內部認證
通過Spring Security支持身份驗證並通過Spring Social進行Linkedin登錄
具有自定義外部形式和彈簧安全性的CAS認證
多個身份驗證提供程序:/ j_spring_security_check和社交登錄
Spring Social和Spring Security使用XML配置
使用Google和Spring Security和Spring Social登錄
我可以使用Spring Social和Spring Security嗎?
Spring Security和Spring Social在不同的登錄頁面中
為什么Spring Social Authentication為NULL?
相關標簽