我有一个使用oauth2(A1)和另一个(A2)保护的REST应用程序,它调用A1进行登录,一般用于数据。
问题是,对于登录我不想为用户实体调用A2并在A1中注册它(其中集成了spring security =>我需要在其中注册包含密码的凭证数据)
我认为对A2进行REST调用(发送userid并获取用户角色和密码)不是解决方案,因为它不安全。任何人都可以使用id调用A2并获取所有用户数据,包括密码和角色。
这里有什么方法?如何让用户在spring security中注册它(集成在A1中)?而且我不希望A1连接到与A2相同的数据库
答案 0 :(得分:0)
我不知道我是否理解正确,但我认为您希望使用您在A1上使用的相同身份验证将用户身份验证为A2。
您可以使用SSO(单点登录)在A1和A2中进行身份验证。 Spring Security OAuth提供了执行此操作的方法:https://spring.io/blog/2015/02/03/sso-with-oauth2-angular-js-and-spring-security-part-v