Spring Boot REST服务–最终用户身份验证与APP(REST客户端)身份验证
我浏览了许多文章和文章,但是没有找到针对我必须实施的简单解决方案。
平台:带有嵌入式Tomcat的Spring Boot 2.x.x(Spring Security 5.x.x)
解决方案::REST服务消耗了许多客户端应用程序和许多最终用户。
-
我必须实现一个REST端点
/api/search,许多客户端应用程序都可以访问该端点。例如,Web应用程序APP-X(角度),Web应用程序APP-Y(jQuery / Bootstrap)和移动应用程序APP-Z(IOS)。这三个客户都是独立的实体(技术角度和业务角度)。 -
因此,我必须使用一次性令牌对上述应用程序进行身份验证。因此,我计划通过启用
@EnableAuthorizationServer和@EnableResourceServer来使用Spring OAuth2。我将为每个应用程序客户端生成一个令牌,当他们与我的REST服务连接时可以使用它。 这种方法正确吗? -
除了应用程序客户端系统以外,还具有为最终用户注册和登录功能的功能。我的端点(
/api/search)也可以访问匿名用户和以ROLE_REGUSER角色注册的用户。并且通过安全上下文,我需要像通常的用户身份验证一样访问用户详细信息。 -
这是我被卡住的地方。如何使用Spring Security 5.x.x(Spring Boot 2.x.x)一起处理以下几点。
I。客户端应用程序和最终用户身份验证。
二。允许匿名用户和同一端点的注册用户访问。
我已附上一张小图来详细说明上述情况。
谢谢
1 个答案:
答案 0 :(得分:0)
当我将Spring Security版本升级到5.2时,我找到了一个解决方案。
在5.2版中,它们已折旧@EnableAuthorizationServer和@EnableResourceServer。因此,我不得不与支持auth2的外部授权提供者一起迁移。我选择了AWS Cognito,并使用用户池选项满足了以上要求。
- 我创建了一个用户池。
- 然后在同一用户池中创建了两个应用程序客户端。
- 一个应用客户端被配置为支持客户端凭据流。
- 第二个应用程序客户端被配置为支持用户身份验证流程。
- 直接使用客户端证书从AWS Cognito检索访问令牌,并用于保护所有API调用。
- 如果用户在任何阶段登录,请使用授权码直接从AWS Cognito检索访问令牌,并替换任何现有的访问令牌。
优点是,资源服务器可以验证与相同用户池相关的任何访问令牌。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?