Spring Data REST中的身份验证和授权
我正在实现一个基于Spring Data REST的应用程序,我想知道是否有一种优雅的方法可以使用此框架或相关框架来实现身份验证和授权规则。
对REST服务器的所有HTTP请求都必须带有身份验证标头,我需要检查它们并根据HTTP方法和经过身份验证的用户与所请求资源的关联来决定是否授权。例如,(该应用程序是电子学习系统的REST服务器),讲师只能访问他们自己的课程部分,学生只能访问他们订阅的课程部分等。
我想知道在Spring Data REST中是否有实现授权的默认方法。如果答案是否定的,你能为我的问题提出建议吗?我在想:
- Servlet过滤器
- Spring安全
- Spring Data REST处理程序(如何访问HTTP标头?)
共有1个答案
对您来说,最好的选择是Spring Security。这将帮助您实现授权,这是一种非常简单的方式。
Spring Security需要一个查看请求标头并以编程方式执行登录操作的实现。
请参阅此处的公认答案。。我也遵循了同样的方法,在我的rest服务(使用RestEasy构建)前面实现了安全层
通过Spring进行RESTful身份验证
还有另一种方法...参考http://www.baeldung.com/spring-security-authentication-provider
在这两种情况下,您都可以通过在spring security中声明无状态身份验证来禁用会话创建,这将有助于在对无状态REST服务进行大量点击时显著提高性能。。
-
问题内容: 我一直在努力用Spring-Security 正确实现Stomp(websocket) 身份验证 和 授权 。 为了后代,我将回答我自己的问题以提供指导。 问题 Spring WebSocket文档(用于身份验证)看起来不清楚ATM(IMHO)。而且我不明白如何正确处理 身份验证 和 授权 。 我想要的是 使用登录名/密码对用户进行身份验证。 防止匿名用户通过WebSocket连接。
-
OAuth术语已经困扰我很久了。OAuth授权是像一些人建议的那样,还是认证? 如果我错了,请纠正我,但我一直认为授权是允许某人访问某个资源的行为,而OAuth似乎没有任何实际允许用户访问给定资源的实现。OAuth实现所讨论的都是为用户提供一个令牌(签名的,有时是加密的)。然后,每次调用都会将该令牌传递到后端服务endpoint,在后端服务endpoint上检查该令牌的有效性,这也不是OAuth的
-
我一直在努力用Spring-Security正确地实现Stomp(websocket)身份验证和授权。对于后人,我将回答我自己的问题,以提供一个指导。 Spring WebSocket文档(用于身份验证)看起来不清楚ATM(IMHO)。我无法理解如何正确处理身份验证和授权。 null 在HTTP协商endpoint上进行身份验证(因为大多数JavaScript库不会随HTTP协商调用一起发送身份验
-
踏频/临时是否提供任何类型的身份验证和授权机制来访问节奏服务器/Web-ui以及节奏/时态服务器与工作流/活动工作者之间的通信。我找不到任何关于此的文档。
-
我不熟悉spring微服务世界。由于我处于学习阶段,我尝试并实施了以下内容。 > 路由(能够使用Spring云网关进行路由) 负载平衡(Netflix Eureka) 限速和断路器 我只需要一些澄清和建议,说明在这些情况下该怎么做: 因为我已经创建了身份验证/授权作为一个单独的微服务集中。现在我如何实现这样的每个请求必须包含jwt令牌和通过API网关调用其他微服务也应该检查哪个用户有权限访问其他微