我们正在考虑无状态化,即使用jwts而不是会话。但是,使用oidc和Spring Security 似乎很棘手。一些博客文章,例如springlemon[1],建议对spring的几个oidc类进行子类化,并在用户经过身份验证后使用过滤器来发布签名的jwt,但它们基于以前的旧版本 .oauth2ResourceServer()
在安全配置中成为可配置类。
今天,我们的用户正在使用oidc进行身份验证,但是我们也提供了一个api,因此我们也有api用户。在编写本文时,我们正在重写应用程序,使其变得更加宁静。更多的逻辑将放在前端,后端将只提供几个API。为了进一步简化模型,我们的想法是对api和oidc用户使用jwts而不是session。
最好的方法是什么?仍然为最终用户使用会话(并且只为api用户使用jwts),还是尝试为所有用户使用jwts构建无状态应用程序?Spring柠檬是正确的方法吗?我们也应该使用 oauth2ResourceServer
在我们用来验证jwts的config类中?
[1] Spring 柠檬:https://dzone.com/articles/spring-security-5-oauth-20-login-and-signup-in-stas
暂无答案!
目前还没有任何答案,快来回答吧!