【发布时间】:2011-08-14 00:36:08
【问题描述】:
我的应用程序使用 Spring Security 和对 LDAP 的身份验证进行保护。问题是 RSS 提要也必须是安全的,只允许注册用户访问,但不能重定向到登录页面。
是否有解决此问题的标准方法?
【问题讨论】:
标签: spring authentication spring-mvc rss spring-security
【发布时间】:2011-08-14 00:36:08
【问题描述】:
您可以尝试强制通过 HTTP 标头发送凭据(基本身份验证可以通过 HTTPS)并禁用表单登录和会话 cookie。通过设置create-session 属性并在其中放置http-basic 元素来做到这一点。
<security:http create-session="never">
<security:http-basic />
...
</security:http>
【讨论】:
-
谢谢,但问题是用户使用表单登录和会话 cookie 登录。我只需要这个,因为 RSS 客户端不会理解表单登录身份验证。
-
@Sinuhe:RSS 客户端不能使用表单登录身份验证,因此您别无选择,只能使用有效的方法。但是您可以在不同的路径上配置不同的登录方法(请参阅过滤器链上的 Spring Security 文档部分和
DelegatingFilterProxy类了解如何)。
一种方法是为每个用户提供某种标记,该标记位于 RSS url 的末尾。然后,您可以将用户与令牌匹配,除非您获得匹配的令牌,否则不发送 RSS 响应。
您可以通过几种不同的方式验证令牌:
- 通过编写身份验证提供程序插入 Spring Security 身份验证架构
- 在输出 RSS 提要的控制器中处理匹配。
这不像让用户登录的正常浏览那样安全,但它比任何人都可以点击的裸 URL 更安全。
【讨论】: