So che questo è già stato chiesto, ma non riesco a farlo funzionare. Ecco cosa mi piacerebbe ottenere compiuto:Spring Security 3.2 Autenticazione token
Sto utilizzando Spring Security 3.2 per garantire un servizio simile a REST. Nessuna sessione lato server. Non sto utilizzando l'autenticazione di base, perché ciò significherebbe che ho bisogno di memorizzare la password dell'utente in un cookie sul lato client. In caso contrario, l'utente dovrebbe effettuare il login con ogni pagina di aggiornamento/modifica. Memorizzando un token penso che sia il male minore.
- un web client (browser, app mobile) chiama un URL REST simile al login "/ login" con nome utente e password
- Il server autentica l'utente e invia un token al client
- il client memorizza il token e lo aggiunge l'intestazione della richiesta HTTP con ogni chiamata API
- il server verifica la validità del token e invia una risposta di conseguenza
non ho nemmeno guardato la parte del token generazione ancora . So che è a ritroso, ma volevo ottenere la parte di validazione del token implementata per prima.
Sto cercando di ottenere questo risultato utilizzando un filer personalizzato (implementazione di AbstractAuthenticationProcessingFilter), tuttavia mi sembra di avere l'idea sbagliata.
Definire in questo modo:
public TokenAuthenticationFilter() {
super("/");
}
farà scattare solo il filtro per questo URL esatto. Mi attengo ad alcune implementazioni di esempio, dove chiama AbstractAuthenticationProcessingFilter # requiresAuthentication che non accetta i caratteri jolly. Posso ovviamente modificare quel comportamento, ma questo in qualche modo mi fa pensare che sono sulla strada sbagliata.
Ho anche iniziato a implementare un AuthenticationProvider personalizzato. Forse è la cosa giusta? Qualcuno può darmi una spinta nella giusta direzione?
Io cerco di fare esattamente la stessa cosa .. hai avuto successo con la sicurezza di primavera? puoi per favore dettagliare la tua soluzione? – fvisticot
Hai trovato una soluzione? – sinu