Spring Security как услуга?

Question

можно ли использовать Контроль доступа (Авторизация) в Spring Security через веб-сервисы? или переместите все задачи авторизации за пределы веб-приложения, которое необходимо авторизовать,

Например, приложение спрашивает, может ли спокойный сервис вызываться или не вызываться от определенного пользователя.

Answer 1

Я фактически отказываюсь от Spring из-за существования такого проекта в сообществе jboss, который называется Keycloak

Весной я реализовал безопасность OAuth2. Я также могу позволить пользователям зарегистрироваться и войти в систему сторонних поставщиков, таких как Facebook и Google. Тем не менее, сложность, добавленная к моему приложению, и проблемы с обслуживанием оказываются слишком большими. Я переключаюсь на JBoss, потому что Keycloak просто работает и гораздо лучше сочетается с разобщенной архитектурой, которую я делаю.

Answer 2

Я не уверен, правильно ли я понимаю ваш вопрос. Если вы хотите получить полномочия пользователя от веб-службы, это, конечно, можно сделать. Лучший способ добиться этого зависит от того, как выполняется аутентификация в вашем приложении.

например. если вы аутентифицируете пользователей по LDAP, вам необходимо реализовать LDAPAuthoritiesPopulator . Там вы справляетесь с загрузкой властей.

Вы также можете написать свой собственный UserDetailsService , в котором вы можете программно выполнять аутентификацию и авторизацию практически для любого сервиса (БД, LDAP, веб-сервис ...).

Если вы хотели защитить свои веб-службы, это может быть хорошим началом.