如何使用 Spring Boot 和 Spring Security 将基本授权(登录名 + 密码)与其他服务(google、github、facebook)的授权结合起来?有很多信息,我不明白如何正确解决这个问题。如果提供教程或材料链接,我将不胜感激。
【问题讨论】:
标签: spring spring-boot spring-security
AuthenticationFilter 中,您将有一个用于用户名/密码身份验证机制的 UsernamePasswordAuthenticationFilter 和一个用于 Oauth2 登录机制的 OAuth2LoginAuthenticationFilter。然后对于AuthenticationTokens,您将拥有UsernamePasswordAuthenticationToken 和OAuth2LoginAuthenticationToken。以此类推每个阶段。password 参数(或者你知道它总是来自/login url),在AuthenticationFilter,OAuth2LoginAuthenticationFilter 将满足它,它将创建UsernamePasswordAuthenticationToken 和将其传递到第三阶段。但是如果请求带有令牌,它将满足OAuth2LoginAuthenticationFilter,它会创建OAuth2LoginAuthenticationToken并将其传递给第三阶段。我希望这能给你一个高层次的画面,只用用户名和密码实现一个示例应用程序,在我提到的源代码 spring 安全类中放置断点,看看它在每个阶段是如何迭代的。
一旦您确信这些过滤器是如何链接的,然后尝试添加类似 ldap 身份验证的东西作为您应用的第二个身份验证机制。
一旦你有信心实现这 2 个,然后通过关注 https://spring.io/guides/tutorials/spring-boot-oauth2/ 来添加 OAuth2
参考图:https://springbootdev.com/2017/08/23/spring-security-authentication-architecture/
【讨论】: