小编Jus*_*stH的帖子

我正在开发一个具有以下要求的Web应用程序:

1. 允许用户登录
2. 在服务器端,用户通过第三方REST Web服务进行身份验证.
3. 如果身份验证成功,REST Web服务将返回唯一标记和密钥.
4. 对REST Web服务的任何后续请求必须包含在第3点(上面)中收到的令牌.

我正在为web应用程序使用spring-mvc和spring security.所以,我得到了一个解决方案,但是我刚接触弹簧并且不确定解决方案是否正确.

有人可以建议:

1. 解决方案是否正确实施？
2. 该解决方案是否会以任何方式影响性能？
3. 解决方案是否会产生任何安全漏洞？

谢谢 :)

方案:

1. 我创建了一个MyUser对象,它将存储从REST服务收到的其他信息.

   public class MyUser implements Serializable {
   
       private static final long serialVersionUID = 5047510412099091708L;
       private String RestToken;
       private String RestKey;
   
       public String getRestToken() {
           return RestToken;
       }
       public void setRestToken(String restToken) {
           RestToken = restToken;
       }
       public String getRestKey() {
           return RestKey;
       }
       public void setRestKey(String restKey) {
           RestKey = restKey;
       }
   }
   

   Run Code Online (Sandbox Code Playgroud)

2. 然后我创建了一个扩展UsernamePasswordAuthenticationToken的MyAuthenticationToken对象.此对象将在CustomAuthenticationProvider中使用(下面的第3点).

   public class MyAuthenticationToken extends UsernamePasswordAuthenticationToken {
   
           private static …

   Run Code Online (Sandbox Code Playgroud)