Oauth2 + jwt 和 spring 启动
Ouath2 + jwt and spring boot
我想在 oauth2 + jwt 中安全地实现后端 rest。
我想在 spring 启动时实现以下身份验证流程,但我不知道该怎么做:
1. 用户通过身份验证。
2. 收到该请求,并使用该登录名和密码攻击验证凭据的 ws。
3.如果正确,则在数据库中查找一系列数据和权限
4. 如果正确,则授予访问权限并生成jwt令牌
我对此感到迷茫,就我所读的内容而言,我不知道我该怎么做。
我可以遵循任何手册或 post 吗?
您是 运行 您自己的(自定义)Auth 服务器还是计划允许用户通过 Google、Facebook 等提供商进行身份验证?如果是后者,那么您根本无法期望收到用户/密码凭证,因此您可能误解了 OAuth 流程。您通常会收到来自提供商的 'Authorization code'(例如 Google)。
另外,"a ws that validates the credentials is attacked"是什么意思?
这个Google use-case diagram depicts a common flow. It's part of this guide.
无论如何,Spring Boot 本身并不处理 OAuth/安全,但它有一个严格的
与 Spring Security 集成,这是一个很好的安全框架,尤其是当您已经在使用 Spring 时。 Spring 安全可以处理 OAuth、JWT 等
一些可能有助于您入门的指南:
我想在 oauth2 + jwt 中安全地实现后端 rest。
我想在 spring 启动时实现以下身份验证流程,但我不知道该怎么做: 1. 用户通过身份验证。 2. 收到该请求,并使用该登录名和密码攻击验证凭据的 ws。 3.如果正确,则在数据库中查找一系列数据和权限 4. 如果正确,则授予访问权限并生成jwt令牌
我对此感到迷茫,就我所读的内容而言,我不知道我该怎么做。 我可以遵循任何手册或 post 吗?
您是 运行 您自己的(自定义)Auth 服务器还是计划允许用户通过 Google、Facebook 等提供商进行身份验证?如果是后者,那么您根本无法期望收到用户/密码凭证,因此您可能误解了 OAuth 流程。您通常会收到来自提供商的 'Authorization code'(例如 Google)。
另外,"a ws that validates the credentials is attacked"是什么意思?
这个Google use-case diagram depicts a common flow. It's part of this guide.
无论如何,Spring Boot 本身并不处理 OAuth/安全,但它有一个严格的 与 Spring Security 集成,这是一个很好的安全框架,尤其是当您已经在使用 Spring 时。 Spring 安全可以处理 OAuth、JWT 等
一些可能有助于您入门的指南: