我已经按照Spring security示例(以及spring security java配置)实现了Spring Social + Spring Security。当时我报告了几个问题(请参见https://jira.springsource.org/browse/SEC-2204),但这些问题都得到了解决,我的安全性能良好。
然而,我想改变我的安全实现方式,并使用RESTful身份验证。Spring oauth/oauth2(http://projects.spring.io/spring-security-oauth/)可以解决这个问题,但我不知道Spring Social如何适应这种情况?虽然在幕后,Spring social使用oauth与Facebook/Twitter通信,但我认为Spring Social的注册表单和其他特征并不适用于restful API。
任何示例或想法都会有所帮助。
此帖子的更新:(4/6/2014) 我建立了一个(PHP)网站,用于消费我的API。这个PHP网站(我们称之为客户端网站),使用Facebook PHP SDK注册自己的用户。这是一种完全独立的方式来收集自己的成员。然而,一旦用户在客户端网站注册,客户端网站会传递用户名、电子邮件、密码、名字和姓氏数据以及其客户端ID和客户端密钥,并使用OAuth2授权类型“client_credentials”进行身份验证。传入的用户数据将在主系统上创建用户记录!(主应用程序)此后,每次客户端网站通过OAuth2授权类型密码调用主系统并发送“client_id”、“client_secret”、“username”和“password”,都会得到一个“身份验证令牌”,并能够使用此令牌与主网站通信。看起来路程有点长,但解决了将用户记录保留在主系统中的问题。我想知道是否还有其他方法?请给予建议。
然而,我想改变我的安全实现方式,并使用RESTful身份验证。Spring oauth/oauth2(http://projects.spring.io/spring-security-oauth/)可以解决这个问题,但我不知道Spring Social如何适应这种情况?虽然在幕后,Spring social使用oauth与Facebook/Twitter通信,但我认为Spring Social的注册表单和其他特征并不适用于restful API。
任何示例或想法都会有所帮助。
此帖子的更新:(4/6/2014) 我建立了一个(PHP)网站,用于消费我的API。这个PHP网站(我们称之为客户端网站),使用Facebook PHP SDK注册自己的用户。这是一种完全独立的方式来收集自己的成员。然而,一旦用户在客户端网站注册,客户端网站会传递用户名、电子邮件、密码、名字和姓氏数据以及其客户端ID和客户端密钥,并使用OAuth2授权类型“client_credentials”进行身份验证。传入的用户数据将在主系统上创建用户记录!(主应用程序)此后,每次客户端网站通过OAuth2授权类型密码调用主系统并发送“client_id”、“client_secret”、“username”和“password”,都会得到一个“身份验证令牌”,并能够使用此令牌与主网站通信。看起来路程有点长,但解决了将用户记录保留在主系统中的问题。我想知道是否还有其他方法?请给予建议。