不使用 Spring Security 身份验证？

Posted 2023-02-27

技术标签:

【中文标题】不使用 Spring Security 身份验证？【英文标题】：Not to Use Spring Security Authentication? 【发布时间】：2011-11-14 18:14:22 【问题描述】：

Spring Security 3 参考说：

5.3 认证

Spring Security 可以参与许多不同的身份验证环境。虽然我们建议人们使用 Spring Security 身份验证并且不与现有的 Container Managed 集成身份验证，但仍受支持 - 与集成您自己的专有身份验证系统。

根据该文本，我无法理解如何确保安全。谁能解释一下？

链接： http://static.springsource.org/spring-security/site/docs/3.0.x/reference/technical-overview.html#tech-intro-authentication

【问题讨论】：

【参考方案1】：

我的解释：

Spring Security 可以参与许多不同的身份验证环境。

它支持不同的外部身份验证系统，如 Microsoft Active Directory、单点登录系统等。

虽然我们建议人们使用 Spring Security 进行身份验证，而不是与现有的容器管理身份验证集成，[...]

不建议激活容器管理的安全模块，如Tomcat认证功能（J2EE安全）。

[...] 它仍然被支持[...]

定义 - 支持。

[...] - 与您自己的专有身份验证系统集成。

我想这引用了引用 #1，它们也支持专有身份验证系统，例如国产系统。

【讨论】：

这是否意味着我应该使用 Spring Security 进行身份验证，而不是像 Tomcat 这样的其他东西？抱歉，我对 Spring 和 Spring Security 还很陌生。 @kamaci：是的，这是我的理解。我必须承认我从来没有那样使用它。他们不建议不使用容器身份验证吗？我认为重点可能是不要同时使用 SS 和基于容器的安全性；使用其中一种。不清楚为什么这是建议。抱歉，我在哪里可以找到有关基于容器的安全性的信息？我使用Tomcat。 Tomcat 的文档是一个很好的起点：tomcat.apache.org/tomcat-7.0-doc/realm-howto.html

以上是关于不使用 Spring Security 身份验证？的主要内容，如果未能解决你的问题，请参考以下文章

Spring Security：身份验证导致 HTTP 405“方法不允许”

使用 spring security ldap 禁用基本身份验证

来自 UI 的 Rest Spring 身份验证调用：在请求正文中传递用户名和密码，而不是在 url 参数中，以使用 Spring Security 进行身份验证

使用 Spring Security + Spring 数据 + MongoDB 进行身份验证

使用事务包装 Spring Security 自定义身份验证提供程序

Spring Security - permitAll() 不允许未经身份验证的访问