java使用SSO处理用户身份验证
我很难将SSO与我的web应用程序集成
我有一个dropwizard应用程序示例。 我试着与谷歌和facebook开放连接进行集成
I thought of 2 approaches for integration
1. fetch the token from frontend js once the user is authenticated using open id, pass that token to the dropwizard server as cookie.
2. fetch the token from the dropwizard server itself and store the set token in cookie while responding to the frontend.
我不确定以上两种方法中哪一种是最好的,或者是否有任何推荐的方法与OpenConnect-in-dropwizard集成
# 1 楼答案
我喜欢将SSO委托给特定于该工作的知名应用程序/库。KeyClope是我熟悉的应用程序。但我认为下面的一些要点是独立于应用程序的。这个部分答案是解决方案的一个可能方向,但我不认为这是推荐的方法,如果有这样的方法的话。有些人会不喜欢这种方法
前端负责身份验证。但由于它位于用户空间中,因此不能信任它未被修改。因此,应该验证对后端的调用的有效性和授权(无论如何,这应该是后端任务)
Key斗篷具有用于众所周知的前端和后端实现的库,允许轻松集成。我已经成功地将其用于Angular和Dropwizard。 可以组合与各种身份提供者的集成。因此,在身份验证需求有望改变的情况下,这可能是一个相当安全的赌注。不过,要适应额外的一层需要一些时间,所以你的里程可能会有所不同
一些链接: