:REST spring security - 手动验证新用户并获取访问令牌

Posted 2023-02-27

【中文标题】:REST spring security - 手动验证新用户并获取访问令牌

【英文标题】：:REST spring security - Manually authenticating a new user and getting access token

【发布时间】：2014-10-22 00:12:07

【问题描述】：

我正在使用rest spring security api 在 grails 上编写一个 RESTful Web 服务。一切都好...现在我想在注册时登录用户，有一个注册操作，在注册完成后，我想登录该用户。我发现：

springSecurityService.reauthenticate(username) method 

但这只是登录用户，而不是在 authentication_token 表中创建访问令牌。

是否有其他可能的方式来登录并获取该用户的访问令牌？

【参考方案1】：

该插件专为前端（使用例如 AngularJS 的纯 html/JS 客户端）与后端（您的 Grails 应用程序）分离的应用程序而设计。在这种情况下，后端必须将访问令牌发回前端，而前端必须以某种方式存储它（通常使用本地存储或 cookie），以便在每个后续请求中将其作为 HTTP 传递。

你可以在你的控制器中做这样的事情：

class RegisterController 

    def springSecurityService
    def tokenGenerator
    def tokenStorageService

    def register() 
         //do stuff
         springSecurityService.reauthenticate(username)
         String tokenValue = tokenGenerator.generateToken()
         tokenStorageService.storeToken(tokenValue, springSecurityService.principal)

         redirect url: "http://example.org/?access_token=$tokenValue"
     

然后，前端可以从 URL 中获取令牌并将其传递给每个后续 API 请求。

【讨论】：

那么refresh_token 在这种情况下呢？当这个令牌过期时，我如何获得一个新的令牌？旧的能用吗？