关于spring security auth2

重新开放
发布

你好,向您请教两个问题:
1、由于我应用的环境所限。我打算把auth2独立部署成服务器,然后我的各应用项目生成token、校验token都走auth2服务器,那么生成没问题,但我如何在我的应用项目验证这个token是否有效?
2、如何token的有效过期时间?
谢谢!

2 答案

发布
andaily 管理员 2015-07-15

朋友,我觉得你的第一个问题是一个典型的SSO的场景啊,你是否去想想用SSO(如CAS)去实现呢.
若要用OAUTH的话,可不可以把各应用项目当成是auth2的一个client呢.
 
关于token有效期你可以查看这些文章
http://andaily.com/blog/?p=90
http://andaily.com/blog/?p=94
若要对每一个client details自定义有效时间,请查看
http://andaily.com/spring-oauth-server/db_table_description.html
中对oauth_client_details表的字段access_token_validity,refresh_token_validity的说明与使用. 

#1
  1. charlson 管理员 2015-07-15
    我也考虑把每个应用当成auth2的一个client。但是我目前就是还没想到怎么去验证token的方法?你是否能提供一些思路呢?谢谢。
  2. charlson 管理员 2015-07-15
    因为按照spring-security-client的demo。所有的应用的业务逻辑还是在spring-security-server里头。我的想法就是把spring-security-server单做生成token以及验证token而已。其他的业务逻辑还是在我的各应用系统里头。
  3. charlson 管理员 2015-07-15
    我也考虑过把每个应用当成client。但是我还没想法token怎么去验证。你能否提供一些思路。因为我看spring-oauth-client的demo。这样去处理的话。变成所有业务还是需要在spring-oauth-server去处理。我的想法就是spring-oauth-server只处理生成token和验证token。其他业务还是在我的应用系统处理。
发布
andaily 管理员 2015-07-16

你去看看DEMO项目https://github.com/spring-projects/spring-security-oauth/tree/master/samples/oauth2
看看client是如何用的.
不过我觉得你的场景更符合SSO,而不是OAUTH.因为OAUTH的资源与验证是在一个应用里的

#2

请登录或者 注册 来提交答案