Spring security Auth0+;圣杯3&x2B;春季安全
我的项目是客户端应用程序(angular4)和api服务器(grails3),我们想开始使用Auth0。如果我做对了,使用JWT我可以拥有具有以下流程的“会话较少的”API体系结构: 1) 客户端中的用户应用程序登录(例如带锁) 2) 对API的所有请求都将包含jwt令牌,API可以“验证”令牌+添加角色(角色可以是“令牌\u id”,例如作为自定义声明) 当前API安全由Spring security执行:Spring security Auth0+;圣杯3&x2B;春季安全,spring-security,jwt,spring-security-oauth2,auth0,grails3,Spring Security,Jwt,Spring Security Oauth2,Auth0,Grails3,我的项目是客户端应用程序(angular4)和api服务器(grails3),我们想开始使用Auth0。如果我做对了,使用JWT我可以拥有具有以下流程的“会话较少的”API体系结构: 1) 客户端中的用户应用程序登录(例如带锁) 2) 对API的所有请求都将包含jwt令牌,API可以“验证”令牌+添加角色(角色可以是“令牌\u id”,例如作为自定义声明) 当前API安全由Spring security执行: 我们在配置文件中有一个静态规则 模式:'/rest/**' 访问权限:['ROLE\
- 我们在配置文件中有一个静态规则 模式:'/rest/**' 访问权限:['ROLE\u USER']>
- 当资源“是公共的”时,我们只是在controller
@Secured(['permitAll'])中对方法进行注释。 - 用户登录应用程序(从angular客户端到api服务器的ajax请求),spring security将其角色存储到会话中
- 可以继续使用Auth0+JWT的安全配置(因此,对API服务器的每个请求都将包含JWT,将有一些“拦截器”这将验证令牌ID,对其进行解码,添加角色,然后spring security只需检查用户是否具有访问API服务的适当角色,因为用户将被记录,其角色将存储在会话中)。
- 这样的“拦截器”是否存在?
多谢各位 看看这个插件。它在spring security的基础上工作,支持JWT auth,您不需要在代码中做太多更改非常感谢,似乎这正是我想要的。谢谢