Jhipster + REST 客户端 + 认证
Jhipster + REST client + authentication
我需要了解如何验证 REST 客户端(可以是 Paw,可以是 android 应用程序,一个使用 AFNetworking 和 jHipster 的 iOs 应用程序,我想,更一般地说, spring-引导我不是专家)。
虽然我能够在登录浏览器时获得令牌,并随后在以下请求中使用该令牌,但我不明白如何首先使用 RESTful 最佳实践进行身份验证。
例如,在Paw.app中,我可以通过基本身份验证或Oauth2,但我不明白如何像在网络浏览器上那样简单地进行身份验证来获取会话令牌。
同样,在 AFNetworking 中我能够通过基本身份验证,例如
NSString*auth=[NSString stringWithFormat:@"%@:%@", @"admin", @"admin"];
NSString *authValue = [NSString stringWithFormat:@"Basic %@", [auth base64EncodedString]];
[manager.requestSerializer setValue:authValue forHTTPHeaderField:@"Authorization"];
但我很难理解如何使用 jHipster/spring 引导中捆绑的会话安全性进行身份验证。
首先,不要对移动应用程序使用 HTTP 会话身份验证。
另一方面,Oauth2 或 JWT 适用于移动应用程序。它们背后的基本思想是从 Jhipster 获取一个 token 到移动设备,该 token 有一个到期时间。届时您可以使用令牌访问 Jhipster 的任何 REST API 来访问数据。
下面我展示了我如何在基于 angularjs 的离子应用程序中使用 Jhipster rest API 的代码片段。我希望它能告诉您需要做什么。
在 application.yml 中取消注释 jhipster
中的 cors
cors: #By default CORS are not enabled. Uncomment to enable.
allowed-origins: "*"
allowed-methods: GET, PUT, POST, DELETE, OPTIONS
allowed-headers: "*"
exposed-headers:
allow-credentials: true
max-age: 1800
要在 ionic 中使用 Oauth2 身份验证访问 REST API,您必须首先通过
在 ionic 应用程序中获取令牌
$http({
method: "post",
url: "http://192.168.0.4:8085/[Your app name]/oauth/token",
data: "username=admin&password=admin&grant_type=password&scope=read write&client_secret=my-secret-token-to-change-in-production&client_id=auth2Sconnectapp",
withCredentials: true,
headers: {
'Content-Type': 'application/x-www-form-urlencoded',
'Accept': 'application/json',
'Authorization': 'Basic ' + 'YXV0aDJTY29ubmVjdGFwcDpteS1zZWNyZXQtdG9rZW4tdG8tY2hhbmdlLWluLXByb2R1Y3Rpb24='
}
})
.success(function(data) {
alert("success: " + data);
})
.error(function(data, status) {
alert("ERROR: " + data);
});
这里"YXV0aDJTY29ubmVjdGFwcDpteS1zZWNyZXQtdG9rZW4tdG8tY2hhbmdlLWluLXByb2R1Y3Rpb24=" is equal to (clientId + ":" + clientSecret)--all base64-encoded
上面的 $http 如果成功会给你这个 JSON 其中包含令牌和它的到期时间
{
"access_token": "2ce14f67-e91b-411e-89fa-8169e11a1c04",
"token_type": "bearer",
"refresh_token": "37baee3c-f4fe-4340-8997-8d7849821d00",
"expires_in": 525,
"scope": "read write"
}
如果您想访问任何 API,请注意 "access_token" 和 "token_type",这是您必须使用的。我们发送带有 API 的令牌以访问数据,直到令牌过期,然后我们刷新它或访问一个新的。
例如
$http({
method: "get",
url: "http://192.168.0.4:8085/auth-2-sconnect/api/countries",
withCredentials: true,
headers: {
'Authorization':' [token_type] + [space] + [access_token] '
}
})
.success(function(data) {
alert("success: " + data);
})
.error(function(data, status) {
alert("ERROR: " + data);
});
这里是我如何实施解决方案的总结。这是真正的swift代码,但请将其视为伪代码,因为它可能不正确。
调用您需要调用的任何方法,在这种方法中传递一个回调(块,或等价物)表示成功,一个表示失败
func action(
URLString:String,
method:Method,
encoding:Encoding = .JSON,
parameters:[String : AnyObject]?,
success:(statusCode:Int, responseObject:AnyObject)->Void,
failure:(statusCode:Int, error:NSError)->Void
)
方法里面es。 /events
你处理了一个特殊的失败案例,即状态代码为 401 时。
if(r!.statusCode==ResponseCodes.HTTP_UNAUTHORIZED.rawValue){
loginAndAction(URLString, method: method, encoding: encoding, parameters: parameters, success: success, failure: failure)
}else{
failure(statusCode: response.response!.statusCode, error:response.result.error!)
}
在这种特殊情况下,不是返回结果并调用失败回调,而是调用 login() 方法,该方法在必要的参数之后接受原始 success()
回调
func loginAndAction(
URLString:String,
method:Method,
encoding: Encoding,
parameters:[String:AnyObject]?,
success:(statusCode:Int, responseObject:AnyObject)->Void,
failure:(statusCode:Int, error:NSError)->Void
)->Void
如果认证成功
var d:[String:AnyObject] = response.result.value as! [String:AnyObject]
self.authToken = d["access_token"] as! String
action(URLString, method: method,encoding:encoding, parameters: parameters, success: success, failure: failure)
此时方法操作可以使用适当的工作令牌。
这应该每天只发生一次(基于令牌过期),这是一种适用于 oauth2 refresh_token
调用的机制。
我需要了解如何验证 REST 客户端(可以是 Paw,可以是 android 应用程序,一个使用 AFNetworking 和 jHipster 的 iOs 应用程序,我想,更一般地说, spring-引导我不是专家)。
虽然我能够在登录浏览器时获得令牌,并随后在以下请求中使用该令牌,但我不明白如何首先使用 RESTful 最佳实践进行身份验证。
例如,在Paw.app中,我可以通过基本身份验证或Oauth2,但我不明白如何像在网络浏览器上那样简单地进行身份验证来获取会话令牌。
同样,在 AFNetworking 中我能够通过基本身份验证,例如
NSString*auth=[NSString stringWithFormat:@"%@:%@", @"admin", @"admin"];
NSString *authValue = [NSString stringWithFormat:@"Basic %@", [auth base64EncodedString]];
[manager.requestSerializer setValue:authValue forHTTPHeaderField:@"Authorization"];
但我很难理解如何使用 jHipster/spring 引导中捆绑的会话安全性进行身份验证。
首先,不要对移动应用程序使用 HTTP 会话身份验证。
另一方面,Oauth2 或 JWT 适用于移动应用程序。它们背后的基本思想是从 Jhipster 获取一个 token 到移动设备,该 token 有一个到期时间。届时您可以使用令牌访问 Jhipster 的任何 REST API 来访问数据。
下面我展示了我如何在基于 angularjs 的离子应用程序中使用 Jhipster rest API 的代码片段。我希望它能告诉您需要做什么。
在 application.yml 中取消注释 jhipster
中的 corscors: #By default CORS are not enabled. Uncomment to enable.
allowed-origins: "*"
allowed-methods: GET, PUT, POST, DELETE, OPTIONS
allowed-headers: "*"
exposed-headers:
allow-credentials: true
max-age: 1800
要在 ionic 中使用 Oauth2 身份验证访问 REST API,您必须首先通过
在 ionic 应用程序中获取令牌 $http({
method: "post",
url: "http://192.168.0.4:8085/[Your app name]/oauth/token",
data: "username=admin&password=admin&grant_type=password&scope=read write&client_secret=my-secret-token-to-change-in-production&client_id=auth2Sconnectapp",
withCredentials: true,
headers: {
'Content-Type': 'application/x-www-form-urlencoded',
'Accept': 'application/json',
'Authorization': 'Basic ' + 'YXV0aDJTY29ubmVjdGFwcDpteS1zZWNyZXQtdG9rZW4tdG8tY2hhbmdlLWluLXByb2R1Y3Rpb24='
}
})
.success(function(data) {
alert("success: " + data);
})
.error(function(data, status) {
alert("ERROR: " + data);
});
这里"YXV0aDJTY29ubmVjdGFwcDpteS1zZWNyZXQtdG9rZW4tdG8tY2hhbmdlLWluLXByb2R1Y3Rpb24=" is equal to (clientId + ":" + clientSecret)--all base64-encoded
上面的 $http 如果成功会给你这个 JSON 其中包含令牌和它的到期时间
{
"access_token": "2ce14f67-e91b-411e-89fa-8169e11a1c04",
"token_type": "bearer",
"refresh_token": "37baee3c-f4fe-4340-8997-8d7849821d00",
"expires_in": 525,
"scope": "read write"
}
如果您想访问任何 API,请注意 "access_token" 和 "token_type",这是您必须使用的。我们发送带有 API 的令牌以访问数据,直到令牌过期,然后我们刷新它或访问一个新的。
例如
$http({
method: "get",
url: "http://192.168.0.4:8085/auth-2-sconnect/api/countries",
withCredentials: true,
headers: {
'Authorization':' [token_type] + [space] + [access_token] '
}
})
.success(function(data) {
alert("success: " + data);
})
.error(function(data, status) {
alert("ERROR: " + data);
});
这里是我如何实施解决方案的总结。这是真正的swift代码,但请将其视为伪代码,因为它可能不正确。
调用您需要调用的任何方法,在这种方法中传递一个回调(块,或等价物)表示成功,一个表示失败
func action( URLString:String, method:Method, encoding:Encoding = .JSON, parameters:[String : AnyObject]?, success:(statusCode:Int, responseObject:AnyObject)->Void, failure:(statusCode:Int, error:NSError)->Void )
方法里面es。
/events
你处理了一个特殊的失败案例,即状态代码为 401 时。if(r!.statusCode==ResponseCodes.HTTP_UNAUTHORIZED.rawValue){ loginAndAction(URLString, method: method, encoding: encoding, parameters: parameters, success: success, failure: failure) }else{ failure(statusCode: response.response!.statusCode, error:response.result.error!) }
在这种特殊情况下,不是返回结果并调用失败回调,而是调用 login() 方法,该方法在必要的参数之后接受原始
success()
回调func loginAndAction( URLString:String, method:Method, encoding: Encoding, parameters:[String:AnyObject]?, success:(statusCode:Int, responseObject:AnyObject)->Void, failure:(statusCode:Int, error:NSError)->Void )->Void
如果认证成功
var d:[String:AnyObject] = response.result.value as! [String:AnyObject] self.authToken = d["access_token"] as! String action(URLString, method: method,encoding:encoding, parameters: parameters, success: success, failure: failure)
此时方法操作可以使用适当的工作令牌。
这应该每天只发生一次(基于令牌过期),这是一种适用于 oauth2 refresh_token
调用的机制。