基于spring安全的令牌认证

Question

我试图为具有spring安全性的HTTP启用基于令牌的身份验证。

环顾四周，我看到了有关实现过滤器和处理程序的答案，如

基于令牌的Spring安全认证

SpringSecurity3.2令牌认证

有一个非常有趣的KeyBasedPersistenceTokenService类。

在spring安全性中，是否没有构建身份验证机制所需的筛选器或其他元素？

Answer 1

Security中的Token接口非常抽象--您需要提供自己的实现来携带实际的身份验证信息，需要自己的端点向经过身份验证的用户或客户端发出令牌，以及您提到的处理受保护资源上的令牌的过滤器(您发布的链接之一建议使用AbstractPreAuthenticatedProcessingFilter，这是正确的)。没有真正的一刀切的解决方案。

使用OAuth2可能会更好，因为它是一个标准，在弹簧OAuth中是单独支持的。至少你用这种方式把所有这些特征都从盒子里拿出来了。

另一个有趣的令牌实现是Github的“Security”--它们给出了一个令牌，您可以在HTTP基本身份验证中使用它作为密码(广泛支持的客户端，以及Security中的开箱即用)。如果要在Security中实现UserDetailsService，您只需将其插件(并将其连接到某个令牌发布UI)即可。