Spring Security as a service？

Question

是否可以通过web服务在Spring Security中使用访问控制(授权)？或者将所有需要授权的授权任务移到webapp之外，

例如，一个应用程序询问某个用户是否可以调用restful服务。

Answer 1

我不确定我是否正确理解了你的问题。如果您想从web服务中检索用户的权限，那么当然可以这样做。实现这一点的最佳方法取决于在应用程序中完成身份验证的方式。

例如，如果您根据LDAP对用户进行身份验证，则需要实现LDAPAuthoritiesPopulator。在那里，您可以处理当局的加载。

您还可以编写自定义的UserDetailsService，您可以在其中以编程方式对几乎任何服务(数据库、LDAP、web服务...)进行身份验证和授权。

如果您打算保护您的web服务，那么this可能是一个很好的开始。

Answer 2

实际上，由于jboss社区中存在一个名为Keycloak的项目，我正在放弃Spring

我在春季实现了OAuth2安全性。我还可以允许用户注册并登录到像Facebook和Google这样的第三方提供商。然而，添加到我的应用程序中的复杂性和令人头疼的维护证明是太多了。我之所以切换到JBoss，是因为Keycloak可以正常工作，并且更适合我正在开发的解耦架构。