这些天我正在学习春天的安全。我需要知道我们是否可以使用spring security实现两步登录,而两次登录都由两个不同的自定义身份验证提供程序执行。
例如,用户访问受保护资源并被重定向到第一页。此页面询问用户ID和其他个人属性。提交此页面后,用户将被重定向到另一个页面,该页面会询问用户ID和密码。简而言之,只有在两个登录页面成功评估后,才能访问受保护资源。
答案 0 :(得分:0)
在以下网站上描述了非常有创造力的
http://altfatterz.blogspot.de/2014/02/two-factor-authentication-with-spring.html
归结为使用具有权限ROLE_STEPONE的spring security实现第一个身份验证步骤。 并在单独的控制器中使用Spring MVC实现第二个身份验证步骤。 然后,控制器使用额外的用户权限重新生成Authentication对象。 (例如ROLE_STEPTWO)
您可以使用ROLE_STEPONE和ROLE_STEPTWO角色保护页面。