如何在没有身份验证的情况下实现安全的REST api以及springboot会话和Spring Security性
问题:我的java springboot应用程序从外部系统接收JWT令牌,以便用外部身份管理提供程序对用户进行身份验证,该提供程序在成功时返回用户详细信息。一旦接收到userdetails,后端应用程序必须为外部系统最终用户创建一个重定向url。重定向url将使用户登陆到我的angular应用程序上,以显示登陆页面。在这里,应该允许所有rest API通过http会话。如果用户试图直接访问rest API,他应该得到一个身份验证错误。
在这种情况下,我们如何实现授权,因为我的spring boot应用程序没有完成身份验证。我们可以使用Spring security创建自定义Spring会话并手动将userDetails放入SecurityContext中吗?
共有1个答案
我目前正在处理从谷歌获得的JWT代币。包括Google,几乎所有的授权服务器都提供rest API,例如GET/userinfo,在这里您可以将JWT令牌作为GET参数放在请求头或URL中,然后验证JWT令牌是否有效、是否过期等。
因为验证JWT令牌通常是无状态的,所以这些API通常有很大的限制,您可以根据需要调用它们的次数。
我假设您已经集成了Spring security,然后可以添加过滤器。这样,每个请求都必须在报头中验证其令牌。
@Service
public class TokenAuthenticationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
try {
String header = request.getHeader("Authorization");
RestTemplate restTemplate = new RestTemplate(); // If you use Google SDK, xxx SDK, you do not have to use restTemplate
String userInfoUrl = "https://example.com/api/userInfo";
HttpHeaders headers = new HttpHeaders();
headers.set("Authorization", header);
HttpEntity entity = new HttpEntity(headers);
ResponseEntity<String> response = restTemplate.exchange(
userInfoUrl, HttpMethod.GET, entity, String.class, param);
User user = response.getBody(); // Get your response and figure out if the Token is valid.
// If the token is valid? Check it here....
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authentication);
} catch (Exception ex) {
logger.error("Could not set user authentication in security context", ex);
}
filterChain.doFilter(request, response);
}
}
-
我正在做一个项目,我正在使用一个gsm模块称为SIM800的设备。SIM800能够获取和发布请求。但是Firebase SDK不能安装在设备上,所以我不能做认证。该设备将访问Firestore数据库,获取和发送请求,读写数据。由于模块不能进行身份验证,我是否可以使用我在reuesting时生成的令牌? 如果这是可能的,我应该如何编写firestore安全规则?
-
“laravel/框架”:“5.7.*” “tymon/jwt认证”:“开发人员开发” 我正在尝试创建一个添加了自定义声明的JWT令牌,而不使用auth(这意味着我不希望从凭据创建令牌)。这是为了创建不需要登录的令牌,例如忘记/重置密码等。 使用Tymon/JWTAuth(https://github.com/tymondesigns/jwt-auth)由于最新的Laravel存在问题,因此建议加
-
我的项目有Spring Security。主要问题:无法访问http://localhost:8080/api/v2/api-docs的swagger URL。它表示缺少授权头或授权头无效。 浏览器窗口的屏幕截图My pom.xml有以下条目 WebSecurityConfig:
-
> 如何在没有用户身份验证的情况下从Instagram获取用户的媒体? 现在是否还有不使用访问令牌获取instagram提要的方法(06/2016)? 我可以通过抓取用户的网页来检索前二十个项目,但这不是一个好的或标准的方法,尤其是当Instagram不正式支持它的时候。
-
我正试图将用户最近的Instagram媒体放在侧边栏上。我正试图使用Instagram API来获取媒体。 http://instagram.com/developer/endpoints/users/ 文档说要获取,但它说要传递一个OAuth访问令牌。访问令牌表示代表用户行事的授权。我不想让用户登录Instagram在侧栏上看到这个。他们甚至不需要有Instagram账户。 例如,我可以在不登录
-
问题内容: 我正在使用javax.mail用Java发送邮件。现在,项目概念的一部分已更改,我必须发送未经身份验证的邮件。我将不得不更改我的createSession()方法: 很明显,我应该更改为,但是我还应该更改什么? 问题答案: 我认为,就足够了。