SPA和简单后端与Oauth2位于同一来源上-使用http会话的方式
使用简单后端(例如Spring)、SPA前端和OAuth2身份验证提供程序,基于http会话实现授权的正确方法是什么?
术语“correct”指的是一种将用户模拟到后端以获取会话cookie的方法。
不幸的是,到处都是“可扩展的、宁静的、无国籍的”JWT炒作。但是我的应用程序将被很少的用户使用,它只需要简单的老式安全性,这是由超文本传输协议开箱即用提供的。Okta解决方案当前“提议”的是导致每个对API的请求都被验证,因此每个调用都有显著的开销,这导致性能低下。
假设我们在myapp.com上公开了SPA应用,并且其后端通过myapp.com/api.在代理上公开
我想的是这个场景的实现:
- 用户访问水疗中心(角度、反应等)
或者也许:
- 用户访问水疗中心(角度、反应等)
有现成的配置吗?看起来这两个场景都需要在Spring Security方面进行大量工作和配置。遗憾的是,很难找到任何与http会话cookie结合SPA和oauth2提供者的资源。
或者我错过了什么?
共有1个答案
JHipster实现(更安全的)第二种场景(也称为授权代码流)。它的实现基于Spring Security的OAuth支持。
我们已经用KeyCloak和Okta测试了所有东西,但是它应该适用于任何符合OIDC的IdP。
http://www.jhipster.tech
-
我有一个部署在Glassfish上的应用程序,并侦听端口8181以获取HTTPS流量(当前)。问题是在部署时,客户很少为服务器创建有效证书。这意味着HTTPS无法通过证书检查。 在我们的应用程序中,我们希望通过HTTP获取某些类型的内容,因为它是静态的,并且获取未加密这一事实不是问题。 我们确实存在的问题是,只有端口8181可供用户使用(防火墙等不能更改)。 因此,我们需要一种方法让Glassfi
-
问题内容: 我编写的应用程序的唯一目的是执行CRUD操作以维护数据库中的记录。在某些表/实体之间存在关系。我在创建会话Bean时看到的大多数示例都涉及与许多我没有的实体进行交互的复杂的业务逻辑/操作。 由于我的应用程序非常基础,因此会话bean的最佳设计是什么? 我当时在考虑每个实体有一个会话bean,而CRUD定义了这些实体。然后,我想到了将所有这些会话bean合并到一个会话bean中的想法。然
-
问题内容: 我一直在整理应该是Web应用程序的一个非常常见的用例。我有一个使用REST信息库,JPA等的Spring-Boot应用程序。问题是我有两个数据源: 包含用户身份验证信息的嵌入式H2数据源 MySQL数据源,用于特定于已验证用户的实际数据 因为第二个数据源是特定于已验证用户的,所以我尝试使用AbstractRoutingDataSource根据验证后的主要用户路由到正确的数据源。 绝对让
-
问题内容: 我一直在整理应该是Web应用程序的一个非常常见的用例。我有一个使用REST信息库,JPA等的Spring-Boot应用程序。问题是我有两个数据源: 包含用户身份验证信息的嵌入式H2数据源 MySQL数据源,用于特定于已验证用户的实际数据 因为第二个数据源是特定于已验证用户的,所以我尝试使用AbstractRoutingDataSource根据验证后的主要用户路由到正确的数据源。 绝对让
-
我需要将angular前端与spring boot后端(REST API)与SAML 2.0集成,我的身份提供者是KeyClope。 我已经使用SAML2 js库与前端集成,现在我如何使用成功登录前端后收到的saml断言来保护后端spring rest API。我能在前面看到的是nameID和session index。如果有人使用SAML集成来保护spring后端rest API,请告诉我有关这
-
令牌名称:mytoken Auth URL:localhost:8080/admin/oauth 访问令牌URL:localhost:8080/admin/oauth/Token