je možné použiť Prístup-kontrola (autorizácia) v jarnom zabezpečení prostredníctvom webových služieb? alebo presunúť všetky autorizačné úlohy mimo webapp, ktorý musí byť autorizovaný,
Aplikácia sa napríklad pýta, či môže byť od určitého používateľa vytočená pokojná služba.
odpovede:
0 pre odpoveď č. 1Nie som si istý, ak chápem tvoju otázkusprávne. Ak chcete získať autoritu používateľa z webovej služby, môžete to samozrejme urobiť. Najlepší spôsob, ako ho dosiahnuť, závisí od spôsobu autentifikácie vo vašej aplikácii.
Napr. ak overujete používateľov proti LDAP, musíte implementovať LDAPAuthoritiesPopulator, Tam pracujete s nakladaním úradov.
Môžete tiež písať vaše vlastné UserDetailsService, v ktorom môžete programovo robiť autentifikáciu a autorizáciu pre takmer akúkoľvek službu (DB, LDAP, webová služba ...).
Ak ste chcel zabezpečiť vaše webové služby, toto môže byť dobrý začiatok.
0 pre odpoveď č. 2
V skutočnosti sa prerušujem z jari kvôli existencii takého projektu v jbossovej komunite Keycloak
Bezpečnosť OAuth2 som zaviedla na jar. Môžem tiež umožniť používateľom registrovať sa a prihlásiť sa k tretím stranám, ako sú Facebook a Google. Zložitosť pridaná k mojej žiadosti a udržiavacie bolesti sa však ukázali príliš veľa. Prechod na JBoss, pretože Keycloak práve funguje a hodí sa oveľa lepšie s oddelenou architektúrou, ktorú robím.