使用带有令牌的 spring 安全插件的一个好习惯

Posted

技术标签:

【中文标题】使用带有令牌的 spring 安全插件的一个好习惯【英文标题】:A good practice for using the spring security plugin with tokens 【发布时间】:2017-01-01 21:54:06 【问题描述】:

我正在使用 spring boot 制作一个 REST api,并寻找一种方法来保护一些 api。我还参与了另一个项目,他们使用了 grails spring 安全插件 (http://alvarosanchez.github.io/grails-spring-security-rest/2.0.0.M2/docs/index.html)。

我想以完全相同的方式工作,用可以使用它们的角色来注释方法等等。我发现很难找到在 Spring Boot 中实现这种方式的教程。或者还有其他非常简单但安全的方法吗?

(我使用 http,所以基础身份验证不是一个选项,我喜欢令牌在 JSON 响应中的方式,然后用标头给出)

编辑 9 月 5 日

在过去的 10 天里,我进行了很多搜索,发现了一些教程,但其中大多数是使用 spring 而不是 spring-boot,或者它们没有使用控制器方法的注释。我还找到了 JWT,这似乎是个好主意,但我仍然不知道如何将它与 spring-boot 和 annotations 结合起来。

【问题讨论】:

【参考方案1】:

经过数小时的搜索,我找到了一个非常清晰的示例。 https://github.com/brahalla/Cerberus。它完全符合我的要求。

【讨论】:

以上是关于使用带有令牌的 spring 安全插件的一个好习惯的主要内容,如果未能解决你的问题,请参考以下文章

带有 Spring Security CSRF 令牌的 jQuery 文件下载插件问题

使用带有 Spring Security 的 Vaadin 出现 403 CSRF 令牌错误

带有 JWT 令牌的 Spring Security 和 Websocket

带有 oidc 的 Spring Security:刷新令牌

jwt访问令牌存储在spring boot中的哪里?

在每个请求之前重新加载凭据是一个好习惯吗?