我们正在使用Spring 3框架,我们有一个SSO(单点登录)提供程序,它重定向到我们的应用程序,在请求中传递特殊标记,以指示用户已通过身份验证。
我想使用Spring安全性处理诸如拒绝访问页面之类的内容,除非用户经过身份验证,但我也希望能够在开发应用程序时绕过本地计算机。
所以在生产场景中,我希望SSO重定向到我们的应用程序,特别是“/login.html”目标,它应该以某种方式触发我编写的自定义类以从请求和加载中提取预期的登录信息从我们的数据库中获取用户的信息,并将其放入会话中以供其他应用程序使用。
然后在开发场景中,我需要绕过SSO,只需能够使用自定义登录页面创建会话,然后如上所述从数据库加载用户的信息。
我试图弄清楚如何自己做,但我似乎无法绕过所有这一切。
任何有关如何实现这一目标的信息,即使只是高级别的路线图也将是一个巨大的帮助
答案 0 :(得分:0)
如果您为Spring Security编写自定义AuthenticationProvider
以向您的SSO提供程序进行身份验证,那么您可以使用两个Spring Security配置,一个用于连接您的自定义AuthenticationProvider
用于生产,另一个用于开发使用标准身份验证提供程序。