使用RestTemplate Spring安全认证

java spring 认证authentication 安全spring-security
我有提供2个独立的一整套服务2 Spring的web应用程序。 Web应用程序1具有Spring Security的使用认证。
现在,Web应用程序2需要访问Web应用程序1的服务。通常情况下,我们的RestTemplate类来发送请求到其他网络服务。
我们如何通过在Web应用程序2要求的身份验证凭据到Web应用程序1
本文地址 :CodeGo.net/238843/

-------------------------------------------------------------------------------------------------------------------------

1. 我当时的情况。这里有我的解决方案。
服务器-春季安全配置

<sec:http>

 <sec:intercept-url pattern="/**" access="ROLE_USER" method="POST"/>

 <sec:intercept-url pattern="/**" filters="none" method="GET"/>

 <sec:http-basic />

</sec:http>

<sec:authentication-manager alias="authenticationManager">

 <sec:authentication-provider>

  <sec:user-service>

   <sec:user name="${rest.password}" authorities="ROLE_USER"/>

  </sec:user-service>

 </sec:authentication-provider>

</sec:authentication-manager>

客户端端RestTemplate配置

<bean id="httpClient" class="org.apache.commons.httpclient.HttpClient">

 <constructor-arg ref="httpClientParams"/>

 <property name="state" ref="httpState"/>

</bean>

<bean id="httpState" class="CustomHttpState">

 <property name="credentials" ref="credentials"/>

</bean>

<bean id="credentials" class="org.apache.commons.httpclient.UsernamePasswordCredentials">

 <constructor-arg value="${rest.username}"/>

 <constructor-arg value="${rest.password}"/>

</bean>

<bean id="httpClientFactory" class="org.springframework.http.client.CommonsClientHttpRequestFactory">

 <constructor-arg ref="httpClient"/>

</bean>

<bean class="org.springframework.web.client.RestTemplate">

 <constructor-arg ref="httpClientFactory"/>

</bean>

自定义的HttpState

/**

 * Custom implementation of {@link HttpState} with credentials property.

 *

 * @author banterCZ

 */

public class CustomHttpState extends HttpState {

 /**

  * Set credentials property.

  *

  * @param credentials

  * @see #setCredentials(org.apache.commons.httpclient.auth.AuthScope, org.apache.commons.httpclient.Credentials)

  */

 public void setCredentials(final Credentials credentials) {

  super.setCredentials(AuthScope.ANY, credentials);

 }

}

Maven的依赖

<dependency>

 <groupId>commons-httpclient</groupId>

 <artifactId>commons-httpclient</artifactId>

 <version>3.1</version>

</dependency>

2.
这里是一个解决方案,它工作得很好,春季3.1和Apache HttpComponents 4.1我创建了这个网站为基础的答案和阅读的springRestTempalte源代码。我在救人的希望分享我觉得spring应该只是有这样的内置代码,但它没有。

RestClient client = new RestClient();

client.setApplicationPath("someApp");

String url = client.login("theuser", "123456");

UserPortfolio portfolio = client.template().getForObject(client.apiUrl("portfolio"),

       UserPortfolio.class);

下面是设置了HttpComponents上下文是工厂类上与RestTemplate每个请求。

public class StatefullHttpComponentsClientHttpRequestFactory extends

     HttpComponentsClientHttpRequestFactory

{

 private final HttpContext httpContext;

 public StatefullHttpComponentsClientHttpRequestFactory(HttpClient httpClient, HttpContext httpContext)

 {

  super(httpClient);

  this.httpContext = httpContext;

 }

 @Override

 protected HttpContext createHttpContext(HttpMethod httpMethod, URI uri)

 {

  return this.httpContext;

 }

}

下面是有状态的rest模板,你的cookies,一旦你与它会将JSESSIONID登录并发送它在后续的请求。

public class StatefullRestTemplate extends RestTemplate

{

 private final HttpClient httpClient;

 private final CookieStore cookieStore;

 private final HttpContext httpContext;

 private final StatefullHttpComponentsClientHttpRequestFactory statefullHttpComponentsClientHttpRequestFactory;

 public StatefullRestTemplate()

 {

  super();

  httpClient = new DefaultHttpClient();

  cookieStore = new BasicCookieStore();

  httpContext = new BasicHttpContext();

  httpContext.setAttribute(ClientContext.COOKIE_STORE, getCookieStore());

  statefullHttpComponentsClientHttpRequestFactory = new StatefullHttpComponentsClientHttpRequestFactory(httpClient, httpContext);

  super.setRequestFactory(statefullHttpComponentsClientHttpRequestFactory);

 }

 public HttpClient getHttpClient()

 {

  return httpClient;

 }

 public CookieStore getCookieStore()

 {

  return cookieStore;

 }

 public HttpContext getHttpContext()

 {

  return httpContext;

 }

 public StatefullHttpComponentsClientHttpRequestFactory getStatefulHttpClientRequestFactory()

 {

  return statefullHttpComponentsClientHttpRequestFactory;

 }

}

这里是一个类来表示一个REST客户端端,让你可以调用抵押和spring有个应用程序 安全性。

public class RestClient

{

 private String host = "localhost";

 private String port = "8080";

 private String applicationPath;

 private String apiPath = "api";

 private String loginPath = "j_spring_security_check";

 private String logoutPath = "logout";

 private final String usernameInputFieldName = "j_username";

 private final String passwordInputFieldName = "j_password";

 private final StatefullRestTemplate template = new StatefullRestTemplate();

 /**

  * This method logs into a service by doing an standard http using the configuration in this class.

  *

  * @param username

  *   the username to log into the application with

  * @param password

  *   the password to log into the application with

  *

  * @return the url that the login redirects to

  */

 public String login(String username, String password)

 {

  MultiValueMap<String, String> form = new LinkedMultiValueMap<>();

  form.add(usernameInputFieldName, username);

  form.add(passwordInputFieldName, password);

  URI location = this.template.postForLocation(loginUrl(), form);

  return location.toString();

 }

 /**

  * Logout by doing an http get on the logout url

  *

  * @return result of the get as ResponseEntity

  */

 public ResponseEntity<String> logout()

 {

  return this.template.getForEntity(logoutUrl(), String.class);

 }

 public String applicationUrl(String relativePath)

 {

  return applicationUrl() + "/" + checkNotNull(relativePath);

 }

 public String apiUrl(String relativePath)

 {

  return applicationUrl(apiPath + "/" + checkNotNull(relativePath));

 }

 public StatefullRestTemplate template;

 }

 public String serverUrl()

 {

  return " CodeGo.net  + host + ":" + port;

 }

 public String applicationUrl()

 {

  return serverUrl() + "/" + nullToEmpty(applicationPath);

 }

 public String loginUrl()

 {

  return applicationUrl(loginPath);

 }

 public String logoutUrl()

 {

  return applicationUrl(logoutPath);

 }

 public String apiUrl()

 {

  return applicationUrl(apiPath);

 }

 public void setLogoutPath(String logoutPath)

 {

  this.logoutPath = logoutPath;

 }

 public String getHost()

 {

  return host;

 }

 public void setHost(String host)

 {

  this.host = host;

 }

 public String getPort()

 {

  return port;

 }

 public void setPort(String port)

 {

  this.port = port;

 }

 public String getApplicationPath()

 {

  return applicationPath;

 }

 public void setApplicationPath(String contextPath)

 {

  this.applicationPath = contextPath;

 }

 public String getApiPath()

 {

  return apiPath;

 }

 public void setApiPath(String apiPath)

 {

  this.apiPath = apiPath;

 }

 public String getLoginPath()

 {

  return loginPath;

 }

 public void setLoginPath(String loginPath)

 {

  this.loginPath = loginPath;

 }

 public String getLogoutPath()

 {

  return logoutPath;

 }

 @Override

 public String toString()

 {

  StringBuilder builder = new StringBuilder();

  builder.append("RestClient [\n serverUrl()=");

  builder.append(serverUrl());

  builder.append(", \n applicationUrl()=");

  builder.append(applicationUrl());

  builder.append(", \n loginUrl()=");

  builder.append(loginUrl());

  builder.append(", \n logoutUrl()=");

  builder.append(logoutUrl());

  builder.append(", \n apiUrl()=");

  builder.append(apiUrl());

  builder.append("\n]");

  return builder.toString();

 }

}

3.
该RestTemplate是非常基本的和有限的 CodeGo.net,似乎没有成为一个简单的方法来做到这一点。最好的办法可能是在Web应用程序1消化基本身份REST服务。
话虽这么说,对于测试我能解决这个一个大劈。基本上,RestTemplate提交登录(j_spring_security_check),解析出JSESSIONID从请求头,然后提交,其余请求。下面的代码,但我怀疑它是为生产做好准备代码的最佳解决方案。

public final class RESTTest {

 public static void main(String[] args) {

 RestTemplate rest = new RestTemplate();

 HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {

  @Override

  public boolean verify(String s, SSLSession sslsession) {

   return true;

  }

 });

 // setting up a trust store with JCA is a whole other issue

 // this assumes you can only log in via SSL

 // you could turn that off, but not on a production site!

 System.setProperty("javax.net.ssl.trustStore", "/path/to/cacerts");

 System.setProperty("javax.net.ssl.trustStorePassword", "somepassword");

 String jsessionid = REST Test").asJSON());

}

} 注意这个工作,你需要在JCA创建一个存储,以便在SSL连接实际上可以做。我不想让Spring Security的登录是通过纯HTTP的生产现场,因为这将是一个巨大的安全漏洞。
4.
当前凭据应该可以在Web应用程序上1Authentication对象,这是通过访问SecurityContext(例如,你可以通过调用检索SecurityContextHolder.getContext().getAuthentication())。
当您检索凭据,您将它们访问Web应用程序2。
您可以通过扩展它与decorator(如下所述)通“Authentiation”头与RestTemplateRestTemplate.exchange()方法,如在本论坛发表的文章中描述。

5.
有一个简单的方法来做到这一点的情况下,你是谁在寻找一个简单的调用,而不是一个API

HttpClient client = new HttpClient();

 client.getParams().setAuthenticationPreemptive(true);

 Credentials defaultcreds = new UsernamePasswordCredentials("username", "password");

 RestTemplate restTemplate = new RestTemplate();

 restTemplate.setRequestFactory(new CommonsClientHttpRequestFactory(client));

 client.getState().setCredentials(AuthScope.ANY, defaultcreds);

本文标题 :使用RestTemplate Spring安全认证
本文地址 :CodeGo.net/238843/

  1.
在C ++坏分配异常
2.
其中这些存储方法是最快的?
3.
VSS到SVN-库 我们终于从Visual Source S
4.
我怎样才能确保嵌套事务相互独立的承诺?
5.
使用URL路由时,asp.net多的Page_Load事件的用户控件
6.
如何显示使用servlet和JSP的PDF文件? [关闭]
7.
如何张贴到墙上的朋友使用Facebook的图形API为iPhone
8.
jQuery的添加的iFrame与内容
9.
如何阅读收到的邮件使用C#
10.
十六进制转换在awk中为十进制或sed的

使用RestTemplate Spring安全认证的更多相关文章

  1. Spring Security认证配置(三)

    学习本章之前,可以先了解下上篇Spring Security认证配置(二) 本篇想要达到这样几个目的: 1.登录成功处理 2.登录失败处理 3.调用方自定义登录后处理类型 具体配置代码如下: spri ...

  2. Spring Securtiy 认证流程(源码分析)

    当用 Spring Security 框架进行认证时,你可能会遇到这样的问题: 你输入的用户名或密码不管是空还是错误,它的错误信息都是 Bad credentials. 那么如果你想根据不同的情况给出 ...

  3. spring security 认证源码跟踪

    spring security 认证源码跟踪 ​ 在跟踪认证源码之前,我们先根据官网说明一下security的内部原理,主要是依据一系列的filter来实现,大家可以根据https://docs.sp ...

  4. Spring Cloud Alibaba 实战(十一) - Spring Cloud认证授权

    欢迎关注全是干货的技术公众号:JavaEdge 本文主要内容: 如何实现用户认证与授权? 实现的三种方案,全部是通过画图的方式讲解.以及三种方案的对比 最后根据方案改造Gateway和扩展Feign ...

  5. Spring Security 入门(1-4-2)Spring Security - 认证过程之AuthenticationProvider的扩展补充说明

    1.用户信息从数据库获取 通常我们的用户信息都不会向第一节示例中那样简单的写在配置文件中,而是从其它存储位置获取,比如数据库.根据之前的介绍我们知道用户信息是通过 UserDetailsService ...

  6. Spring Security 入门(1-4-1)Spring Security - 认证过程

    理解时可结合一下这位老兄的文章:http://www.importnew.com/20612.html 1.Spring Security的认证过程 1.1.登录过程 - 如果用户直接访问登录页面 用 ...

  7. Authentication讲解(Spring security认证)

    标准认证过程: 1.用户使用username和password登录 2.系统验证这个password对于该username是正确的 3.假设第二步验证成功,获取该用户的上下文信息(如他的角色列表) 4 ...

  8. Spring Security认证配置(二)

    学习本章之前,可以先了解下上篇Spring Security基本配置. 本篇想要达到这样几个目的: 1.访问调用者服务时,如果是html请求,则跳转到登录页,否则返回401状态码和错误信息 2.调用方 ...

  9. Spring Security认证配置(一)

    学习本章之前,可以先了解下上篇 Spring Security基本配置. 本篇主要讲述Spring Security基于表单,自定义用户认证配置(上篇中的配置,本篇将不再阐述).一共分为三步: 1.处 ...

随机推荐

  1. A Knight's Journey 分类: POJ 搜索 2015-08-08 07:32 2人阅读 评论(0) 收藏

    A Knight's Journey Time Limit: 1000MS Memory Limit: 65536K Total Submissions: 35564 Accepted: 12119 ...

  2. phpQuery—基于jQuery的PHP实现

    转载于:http://www.cnblogs.com/in-loading/archive/2012/04/11/2442697.html Query的选择器之强大是有目共睹的,phpQuery 让p ...

  3. 数据库 使用DML语句更改数据

    使用DML语句更改数据 添加新数据: 插入单行语句: Insert into 表名(列名)values(‘值’); 插入多行:insert into 表名(列名,…..) Values(‘值’,’值’ ...

  4. Android图形系统之Surface、SurfaceView、SurfaceHolder及SurfaceHolder.Callback之间的联系

    1.Surface Surface extends Objectimplements Parcelable java.lang.Object    ↳ android.view.Surface Cla ...

  5. 2016年10月23日 星期日 --出埃及记 Exodus 19:7

    2016年10月23日 星期日 --出埃及记 Exodus 19:7 So Moses went back and summoned the elders of the people and set ...

  6. LNMP(linux+nginx+mysql+php)服务器环境配置

    一.简介 Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为 “engine X”, 是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP 代理服 ...

  7. Struts2的处理结果(四)——PreResultListener监听器

    Struts2的处理结果(四) --PreResultListener监听器 1.PreResultListener是一个监听器接口,他在Action完成控制处理之后,系统转入实际物理视图资源之间被回 ...

  8. 编写一个类A,该类创建的对象可以调用方法f输出小写的英文字母表。然 后再编写一个A类的子类B,要求子类B必须继承类A的方法f(不允许重写), 子类B创建的对象不仅可以调用方法f输出小写的英文字母表,而且可以调用子 类新增的方法g输出大写的英文字母表。最后编写主类C,在主类的main方法 中测试类A与类B。

    package zimu; public class A { public void f() { for (int i = 97; i <123; i++) { System.out.print ...

  9. window删除损坏无法打开的文件

    移动硬盘删除文件时提示“文件或目录损坏且无法读取”的解决方法-chkdsk 命令的巧用 新买一个移动硬盘,同学借去Copy一个游戏,拷来后发现数据包损坏,提示"文件或目录损坏且无法读取&qu ...

  10. Trigger Execution Sequence Of Oracle Forms

    Sequence of triggers fires on Commit.1.  KEY Commit2.  Pre Commit3.  Pre/On/Post Delete4.  Pre/On/Po ...