基于令牌的身份验证-用户将提供其凭据,并获得唯一且受时间限制的访问令牌。我想在自己的实现中管理令牌的创建,检查有效性和到期时间。
实际上,将过滤器用于令牌验证-这种情况下的最佳方法
最终,您可以通过Spring Data创建CRUD,以管理Token的属性(例如过期)等。
这是我的令牌过滤器:http :
//pastebin.com/13WWpLq2
和令牌服务实施
http://pastebin.com/dUYM555E
某些REST资源将是公共的-完全不需要身份验证
没问题,您可以通过Spring安全配置来管理资源,如下所示:
.antMatchers("/rest/blabla/**").permitAll()某些资源仅对具有管理员权限的用户可用,
看一下
@Secured注解类。例:
@Controller@RequestMapping(value = "/adminservice")@Secured("ROLE_ADMIN")public class AdminServiceController {授权所有用户后,即可访问其他资源。
返回Spring Security配置,您可以像这样配置URL:
http .authorizeRequests() .antMatchers("/openforall/**").permitAll() .antMatchers("/alsoopen/**").permitAll() .anyRequest().authenticated()我不想使用基本身份验证
是的,通过令牌过滤器,您的用户将通过身份验证。
Java代码配置(非XML)
回到上面的话,看
@EnableWebSecurity。您的课程将是:
@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {}您必须重写 configure 方法。下面的代码仅作为示例,介绍如何配置匹配器。它来自另一个项目。
@Overrideprotected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/assets/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .usernameParameter("j_username") .passwordParameter("j_password") .loginPage("/login") .defaultSuccessUrl("/", true) .successHandler(customAuthenticationSuccessHandler) .permitAll() .and() .logout() .logoutUrl("/logout") .invalidateHttpSession(true) .logoutSuccessUrl("/") .deletecookies("JSESSIONID") .logoutRequestMatcher(new AntPathRequestMatcher("/logout")) .and() .csrf();}
