使用Spring Boot使用API-Key进行无状态REST API安全性的方法？

sou*_*ick 6 spring-security stateless api-key spring-boot

Spring Security是一个非常灵活的框架,当然可以创建无状态每请求身份验证的实现来保护Business-2-Business REST API.

但是,最好的方法是什么？

OAuth和OAuth2超出了此问题的范围.

特别感兴趣的是基于API-Key和API-Secret对的解决方案,其中:

假设API-Secret已提前交换,不会在请求中传输
API-Key和API-Secret用于对每个请求进行签名
API-Key和API-Secret对与想要使用API的企业相关联并提供给它

有关实现和配置详细信息,实现每个请求身份验证并启用基于GrantedAuthorities的后续访问控制的方法是什么？

这是一篇博客文章,其中有一个值得注意的建议,但这看起来非常具体且相当复杂.

http://www.future-processing.pl/blog/exploring-spring-boot-and-spring-security-custom-token-based-authentication-of-rest-services-with-spring-security-and-pinch-的弹簧-java的配置和 - 弹簧集成测试/

归档时间：	10 年，8 月前
查看次数：	3925 次
最近记录：	10 年，8 月前

spring security 4 csrf通过xml禁用 23

Spring Boot是嵌入式Tomcat还是Jetty Production等级 17

Spring Security,Spring MVC和Login Sessions 11

Spring-security:记住我只有一次令牌工作 8

Springdoc Openapi - 添加响应示例值 7

我可以创建多个具有相同请求映射和不同请求正文的 HTTP POST 方法吗 5

Spring Boot [2.6.6] 与此 Spring Cloud 版本系列不兼容 5

docker-compose-外部化spring application.properties 4

例外：使用 Spring `@DynamicPropertySource` 时，只能在容器启动后才能获取映射端口 4

在 RestController ExceptionHandler 中记录请求正文字符串 4

检测未定义的对象属性 2742

显示两个修订版之间已更改的文件 2041

如何按字典值对字典列表进行排序？ 1722

JavaScript中的'new'关键字是什么？ 1684

如何将元素移动到另一个元素？ 1611

正确使用IDisposable接口 1586

外部"C"在C++中有什么影响？ 1511

如何使用Bash将stdout和stderr重定向并附加到文件中？ 1440

match_parent和fill_parent有什么区别？ 1371

如何从"Bobby Tables"XKCD漫画中注入SQL？ 1070