从Spring RESTful资源服务器验证OAuth 2.0访问令牌
dom*_*omi 13 java rest spring spring-security oauth-2.0
我想保护我的Spring RESTful后端.一种方式(右边?)是使用OAuth 2.0,如下所示:
http://www.youtube.com/watch?v=8uBcpsIEz2I
在我的架构中,资源服务器和授权服务器不是同一个实体.我真的只是提供一些JSON REST服务.没有UI.如果我阅读OAuth2 RFC,他们只会说:
授权服务器和资源服务器之间的交互超出了本规范的范围.授权服务器可以是与资源服务器相同的服务器或单独的实体.单个授权服务器可以发出由多个资源服务器接受的访问令牌.
我在cloudfoundry.com上找到了一个很好的图表(与上面的youtube视频相关),我用它来说明我的观点:
"令牌"提供者:这可能/应该是google或facebook.
RESTful后端:这实际上是我的代码.Spring RESTful服务,例如:
@Controller
@RequestMapping("/api/v1")
public class MyResourceToProtect {
@Autowired
private MyService service;
@RequestMapping(value = "/resource/delete/{name}",
method = RequestMethod.DELETE,
consumes = MediaType.APPLICATION_JSON_VALUE,
headers = "Content-Type=application/json")
@ResponseStatus(HttpStatus.OK)
public void delete(@PathVariable("name") String name) {
service.delete(name);
}
}
(这只是一些示例代码)
现在我的问题是:以某种方式可以验证由AuthServer(Facebook,Google)生成的访问令牌吗?我知道我需要在ResourceServer的某个地方有一个"令牌到用户"映射(数据库).基本上我想设计一个来自PayPal的RESTful API:
https://developer.paypal.com/webapps/developer/docs/integration/direct/make-your-first-call/
但是,如果我想使用Facebook或Google作为身份验证提供商,我该如何处理步骤1和2?这甚至可能吗?
额外的想法:可能我需要提供自己的/oauth2/token端点,然后委托给底层的AuthProvider.
小智 4
不知道如何用一个漂亮的鞠躬来回答所有问题,所以我只是提出以下几点:
- 您是否试图以 OAuth 安全的方式使用像 Facebook 这样 OAuth 安全的 API?使用 Spring 社交。
- 如果您尝试创建自己的 REST API 并使用自己的用户上下文,请使用 Spring Security OAuth。在这种情况下,您将要求客户端使用 OAuth 针对您的 API 进行身份验证,而不是 Facebook 或 LinkedIn 等。
- Spring Social Security(在 1.2.x 系列中)支持通过 OAuth 连接“登录”用户(例如,“使用 facebook 登录”、“..twitter”、“..linkedin”等,以及您的应用程序最终会在会话中得到 Spring Security 主体,就像您使用 HTTP 表单手动登录用户一样。
- Spring Security OAuth 并不关心您从哪里获得 Spring Security 主体。它只关心主体是否具有 Spring Security OAuth 客户端所需的正确角色/范围。因此,您没有理由不能使用 Spring Social 安全地连接到 Facebook,使用 Spring Social Security 让该连接创建一个 Spring Security 身份验证对象,然后使用 Spring Security OAuth 来保护对您的 API 的任何访问,这在turn 可能会在幕后安全地连接到 Facebook 的 API。客户端将使用您的 API 的 OAuth 访问令牌,而不是 Facebook。这将在服务中处理。
| 归档时间: |
|
| 查看次数: |
14067 次 |
| 最近记录: |