在spring应用中使用不带OAuth的JWT可以吗?
我有一个公共的spring web应用程序,通过HTTPS提供REST API。它目前仅使用HTTP基本身份验证。
我被要求实现JWT支持。我也想这样做,但要保持简单性--避免使用OAuth之类的东西(由于以前的spring-security-jwt不推荐使用,所以在当前的spring中必须使用OAuth)。
在我的理解中,在没有OAuth的情况下使用JWT(在HTTPS中)是完全有效的。因此,我可以使用jjwt(或者通过spring-安全-jjwt对其进行spring集成)。走这条路摆脱OAuth就可以了?
我将感谢任何善意的评论。
共有1个答案
是的,还可以,而且价格很高。HTTP基本身份验证的一个问题是,您依赖于您的凭据,您需要放入头,最好获得JWT令牌(承载、刷新),并将其用作承载和刷新令牌,使用适当的过期、刷新策略。
-
在Spring Security OAuth中,它可以使用/使用从使用Keycloak进行身份验证的用户生成的JWT令牌吗?就此而言,Keycloak是开放ID,但它们似乎都非常相似。我仍在尝试理解分界线以及与此相似或相同的地方。 基本上,我希望在REST客户机中单独进行身份验证,然后使用授权标头中的令牌对一些web服务进行REST调用。在Spring Security OAuth中似乎有一些JW
-
我已经学习了本教程,它展示了如何使用几种场景来保护单页应用程序,从简单到我们自己的授权服务器(将身份验证委托给提供者)。第一个场景使用授权代码Grant将用户登录。 假设我们在本例中用自己的OAuth服务器替换Facebook的OAuth服务器,并将其配置为返回一个JWT令牌。 将@EnableResourceServer批注放在资源服务器上 使用OpenID Connect客户端实现隐式流 因此
-
我正在使用JWT令牌在web api 2中实现授权,我对这个领域是新手。我坚持生成AudienceId和AudienceCret的目的,为什么我需要它们?
-
据我所知,OAuth 2.0规范在访问令牌应该采取什么形式方面非常模糊: 令牌可以表示用于检索授权信息的标识符,或者可以以可验证的方式自包含授权信息(即,由一些数据和签名组成的令牌字符串)。为了让客户端使用令牌,可能需要额外的身份验证凭据,这些凭据超出了本规范的范围。 访问令牌提供了一个抽象层,将不同的授权构造(例如用户名和密码)替换为资源服务器可以理解的单个令牌。这种抽象使得发布访问令牌比用于获
-
我需要编写我的自定义安全Spring过滤器来验证一个JWT令牌。 我有我的自定义JWT验证器。当令牌有效时,我必须授权用户。 我像其他一些在线演示的示例一样实现了这一点: 这工作得很好,但我的问题是:在不使用UsernamePasswordAuthenticationToken的情况下,是否存在用于JWT验证的专用AuthenticationToken?