我有一个基于Spring的应用程序,它为用户公开了3种身份验证选择。基于表单,Facebook Connect和来自外部应用程序的单点登录。我不确定验证最后一个选项的正确方法。
应用程序A(基于Spring Security) 应用程序B(基于非弹簧的遗留应用程序)
安全流程: - 当请求应用程序A中的安全资源并且用户未经过身份验证时,应用程序A将重定向到应用程序B,其中将向用户提示登录表单并流经应用程序B的安全流程。然后,应用程序B将对应用程序A(通过带有初始请求发送的回调URL参数)执行HTTP POST,该XML由将在应用程序A中验证其有效性的XML组成,如果它通过用户,则应在应用程序A中进行身份验证。是使用Spring Security的最佳方法吗?
答案 0 :(得分:2)
请参阅Configuring Spring Security 3.x to have multiple entry points。就像@limc在该问题中所做的那样,您可以构建两个不同的令牌和两个提供程序来处理身份验证。但我认为你可以使用一个提供商,在这种情况下你必须在auth令牌中传递不同的细节(因为我假设XML中没有密码)并且基于详细数据,提供者将验证用户(没有密码)。