什么是处理身份验证的最佳方法???

我以前从未使用过Spring安全性,我找不到使用数据库(用户和角色)的例子.即使我有html页面,我也使用spring security吗？

我想要的是当用户(来自我的数据库)登录时,他会找到他的个人数据.我的意思是例如在facebook主页中,用户的名字显示在顶部栏上,他可以看到他的个人资料……

此外,我的菜单的一部分必须仅显示给我的管理员用户.那可能吗 ？

如果有人可以告诉我要遵循的步骤或给我一个好的教程链接,我会很感激.我迷路了

我个人的建议是使用Spring Security表格登录,它支持基于角色的身份验证.当您使用angularjs和基于角色的身份验证时,自定义菜单显示并不难. (但我担心你将无法拥有100％的HTML解决方案 – 可能必须使用jsp if语句.)

另一种选择是,如果您将jboss作为应用程序服务器,则可以使用login-config.xml更改权限

我的旧登录流使用grant_type = password POST调用/ oauth / token端点来获取Bearer令牌.代表用户的所有进一步API调用将包括Bearer令牌作为“授权”http头.

现在我需要整合社交登录(脸书,推特等),这意味着我没有用户名/密码来生成令牌,所以我不知道如何让它工作.

我一直在使用以下两个教程作为我的模板：

Spring Security and Angular JS

Spring Boot and OAuth

在第一个教程的oauth-vanilla示例中,用户名passwork登录流程会显示授权页面.但我想拥有传统的用户名/密码表单登录体验(直接登录用户而不是显示授权页面).

在第二个教程中,在登录facebook之后,我想使用facebook id查找我的内部用户数据库并创建一个新用户(如果不存在)并以用户身份登录.并使用内部db用户的身份和权限来授权将来对我的API服务器的API调用.

我在at处有一个剥离的样本
https://github.com/dingquan/spring-angular-oauth

我可以对/ oauth / token端点进行POST调用,并使用返回的令牌对我的protected / api / blogs端点进行进一步的api调用.但我还没弄明白如何使以下事情奏效：

>将创建会话cookie的用户名/密码登录,因此我不需要发送授权承载令牌以用于将来对资源端点的API调用
>在facebook登录后(facebook登录链接在用户名/密码登录表单下),对我的端点的调用仍然失败,并显示401错误(我有一个“测试”按钮,可以调用/ api / blogs,你可以点击在它上面看行为).那么我错过了什么让API调用成功？

===更新===

只是为了澄清.以下是我要实现的目标：

>多种身份验证方式(传统用户名/密码,第三方oauth登录如facebook,未来可能是手机号码短信代码)
>我们确实需要我们自己的DB支持的用户模型来存储其他用户属性,纯社交登录是不够的
>社交登录需要隐含.意味着用户在通过第三方(Facebook等)登录后,不需要手动在我们的系统中创建用户帐户.我们不只是抓住用户的社交个人资料数据来预先填写注册表单.如果没有现有的db用户与给定的外部社交帐户关联,我们希望在场景后自动创建新的DB用户.即如果用户通过Facebook登录,则无需输入用户名/密码.通过Facebook验证将自动将用户登录到我们的系统中,用户应该能够在登录Facebook后访问受限资源.

有一些混乱,我可能会要求人们将他们的Facebook用户名/密码放在我的应用程序托管的登录表单中,我将代表用户登录facebook.这不是我要求的.

以下是我使用Facebook作为授权服务器所做的工作.

a)从UserServiceImpl中删除clientId和authServer.否则,您将被迫配置不需要的授权服务器.

b)完全删除AuthorizationServerConfiguration.

c)将@EnableWebSecurity和@ EnableOAuth2Sso添加到您的MainConfiguration.

d)将MainConfiguration :: configure更改为

http
    .logout().logoutSuccessUrl("/").permitAll().and()
    .authorizeRequests().antMatchers("/","/login","/home.html").permitAll()
    .anyRequest().authenticated()
    .and().csrf().csrftokenRepository(CookieCsrftokenRepository.withHttpOnlyFalse());

e)从MainConfiguration中删除除嵌套类AuthenticationSecurity之外的所有其他内容.

f)将ResourceServerConfiguration :: configure(HttpSecurity)更改为

http.antMatcher("/api/**").authorizeRequests().anyRequest().authenticated();

f)从ResourceServerConfiguration中删除属性tokenStore和方法ResourceServerConfiguration :: configure(ResourceServerSecurityConfigurer).

g)从application.yml中删除配置块安全性和Facebook.而是添加这个

security:
  oauth2:
    client:
      client-id: <CLIENT_ID>
      token-name: oauth_token
      authentication-scheme: query
      client-authentication-scheme: form
      access-token-uri: https://graph.facebook.com/oauth/access_token
      user-authorization-uri: https://www.facebook.com/dialog/oauth
    resource:
      user-info-uri: https://graph.facebook.com/me
      client-id: <CLIENT_ID>
      client-secret: <CLIENT_SECRET>
      token-type: code

h)在index.html中更改< a href =“#/ login”> login< / a>到< a href =“/ login”>登录< / a>.
i)用此one替换hello.js的内容.

But I’d like to have the Traditional username/password form login experience (log user in directly instead of showing the Authorization page).

我永远不会使用需要我的凭据的网站,而不会将我重定向到原点！我不认识你,你被怀疑是一个网络钓鱼网站.
你应该重新考虑你的决定.

顺便说一下,我用这些更改创建了一个拉取请求.

>只要我们可以使用id_token每小时到期并且必须让用户每次都回到AAD,是否可以使用角度为js的azure ad b2c？
>如果没有,可以使用角度为js的graph api吗？ (可能是一个多余的问题)
>如果我们需要返回声明和id_token,我们可以在制作中使用azure ad b2c吗？

任何帮助/源代码都非常感谢.

我没有看到任何你不应该在生产中使用Azure B2c的原因.它在一般可用性和生产准备就绪.

由于Azure AD B2C是Open ID的实现,因此您可以从获取Open ID概述中受益.互联网上可能有资源.这是一个快速概述视频.

https://www.youtube.com/watch?v=BdKmZ7mPNns