Rhy*_*hys 11 jwt single-page-application spring-boot google-signin angular
我花了数小时来浏览各种教程和文章,并最终屈服于询问。
我想对Angular 7应用程序的所有用户强制使用Google登录身份验证。但是,一旦Google身份验证完成,我想首先检查该用户是否存在于我的后端数据库(PostgreSQL)中。如果他们这样做,那么我想为两个目的发布JWT:
到目前为止,我已经能够从gapi auth2 auth响应中检索id_token并将其转发到我的Spring Boot POST映射,但是我一直在努力精确确定我要针对的OAuth 2.0 / OpenId流/赠款在采购适当的Spring Boot文档/教程时,工作变得很困难。
有谁能够澄清我应该瞄准的流程/拨款以及我目前的方向是否有效?
建议您结合Google登录ID提供程序实施“无状态”身份验证系统。
“使用JWT作为授权的承载者,您可以通过简单地检查有效载荷中的到期是否尚未到期以及签名是否有效,来无状态地验证用户是否已通过身份验证。” — Jonatan Nilsson
关于这个问题的一些很好的资源:
总体思路是:
后端是无状态的,并且易于实现。这种设计往往会成为云平台上的一种良好做法,例如,Google Cloud在其新产品中大量使用了这种设计:Cloud Run
每个步骤的一些细节:
1)前端检索Google登录身份验证JWT令牌。
为此,您可以直接使用Google登录库,也可以使用ng-gapi在Angular中管理Google登录。
2)每个对后端的http调用都有一个授权标头,其中包含从Google登录中检索的JWT令牌(id_token)。
您可以为此使用HttpInterceptor。
headers: {
Authorization: Bearer ___JWT ID TOKEN___
}
请参阅MichaelKarén的使用Angular中的Interceptor的十大方法。
请注意,不要将Google JWT Id_token存储在变量中。如果过期,它可能会刷新(由Google登录自动完成),因此,每次在HttpInterceptor中使用它时,都应使用一个新版本。
3)在Spring Boot中实现过滤器
对于每个请求,此安全过滤器都会JWT ID TOKEN使用Google图书馆对其进行检索和验证。
NetHttpTransport transport = new NetHttpTransport();
JsonFactory jsonFactory = new GsonFactory();
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
.setAudience(Collections.singletonList(clientId))
.build();
GoogleIdToken idToken = GoogleIdToken.parse(verifier.getJsonFactory(), token);
boolean tokenIsValid = (idToken != null) && verifier.verify(idToken);
if (tokenIsValid) {
GoogleIdToken.Payload payload = idToken.getPayload();
// Get profile information from payload
payload.getEmail())...
...
但是要小心,不要GoogleIdTokenVerifier为每个请求创建一个factory模式。此类将检索证书并自动对其进行缓存,以避免对Google服务器的无用请求。
一些资源: Google登录,通过后端服务器进行身份验证
| 归档时间: |
|
| 查看次数: |
388 次 |
| 最近记录: |