Spring Boot:使用Spring Social和Spring Security保护RESTful API

时间:2016-01-14 09:38:10

标签: spring spring-security spring-boot spring-social spring-restcontroller

我正在尝试使用Spring Boot定义和保护RESTful API。理想情况下,我想使用Spring Social并允许客户(网络和移动)通过Facebook登录。

工作正常

到目前为止,我设法使用@RestController创建了一个有效的API,并使用基本的Spring Security配置保护它,如下所示:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers(HttpMethod.POST, "/api/**").authenticated()
                .antMatchers(HttpMethod.PUT, "/api/**").authenticated()
                .antMatchers(HttpMethod.DELETE, "/api/**").authenticated()
                .anyRequest().permitAll()
            .and().httpBasic()
            .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

antMatchers可能会有所改进,但我现在已经这样做了,并且它工作正常。允许执行GET请求,并且所有其他人都需要在运行时发送Spring Security提供的标准user:password。使用httpie的示例:

http POST user:a70fd629-1e29-475d-aa47-6861feb6900f@localhost:8080/api/ideas/ title="My first idea"

哪个正确的凭据,它会发回200 OK,否则发送401 Unauthorized

春天社交

现在,我陷入困境,无法使用Spring-Social-Facebook来处理我当前的设置并保留完全RESTful控制器。使用标准表单和重定向似乎微不足道,但我找不到任何基于REST的方法的解决方案,例如,它可以轻松支持Web和移动客户端。

据我了解,客户端必须处理流程,因为后端不会向/connect/facebook网址发送任何重定向。

  • 我按照教程Accessing Facebook Data进行操作。但是,我希望避免在教程中使用那些facebookConnect.htmlfacebookConnected.html模板。所以我不知道如何改变它。

  • 另一个Spring Boot tutorial for OAuth也很好并且有效,但如果可能的话,我想坚持Spring Social,因为简单。

  • This post,在使用上述观点时帮助Method not allowed /connect/facebook重定向问题。

  • 发布约Social Config。可能,我在那里遗漏了一些东西。

任何有关更好教程的建议,解决方案或链接都会非常有用。

谢谢!

更新1

现在,我有一个工作网站,其中包含传统的用户注册和登录表单。我有一个“登录Facebook”按钮,通过“OAuth舞蹈”发送给我。所以下一个问题是我必须在Facebook登录成功后手动创建用户,因为目前两个“登录”都不相关,所以即使用户登录Facebook,他还没有具有正确授权的关联用户对象。

1 个答案:

答案 0 :(得分:0)

SocialAuthenticationFilter默认情况下,在您描述的情况下重定向到'/signup',用户从社交应用登录,但是,不存在本地帐户。您可以提供处理程序来创建本地帐户。这也包含在spring-socal样本中。

@RequestMapping(value = { "/signup" }, method = RequestMethod.GET)
public String newRegistrationSocial(WebRequest request, Model model) throws Exception {
    String view = "redirect:/home";
    try {
        Connection<?> connection = providerSignInUtils.getConnectionFromSession(request);
        if (connection != null) {
            UserProfile up = connection.fetchUserProfile();

            registerUser(up.getFirstName(), up.getLastName(), up.getEmail(), "DummyPassword");              
            providerSignInUtils.doPostSignUp(up.getEmail(), request);

            //SignInUtils.signin(up.getEmail());
            ...
            ...             
        } 
    } 
    return view;
}
相关问题
最新问题