Spring セキュリティの例で概説されているように (および spring security java config を使用して)、Spring Social + Spring Security を実装しました。当時、いくつかの問題を報告しました ( https://jira.springsource.org/browse/SEC-2204を参照)。これらはすべて解決され、セキュリティは正常に機能します。
ただし、セキュリティの実装を変更し、RESTful 認証を使用したいと考えています。Spring oauth/oauth2 ( http://projects.spring.io/spring-security-oauth/ ) はこの問題を解決しますが、Spring Social がその状況にどのように適合するかわかりません。Spring ソーシャルは裏で oauth を使用して Facebook/Twitter と対話しますが、Spring ソーシャルのサインアップ フォームやその他の特性は安らかな API 用に構築されているとは思いません。
例やアイデアは間違いなく役に立ちます。
この投稿の更新: (2014 年 4 月 6 日)
- API を使用する (PHP) サイトを構築しました。
- この php サイト (クライアント サイトと呼びましょう) は、Facebook PHP SDK を使用して独自のユーザーを登録します。これは、独自のメンバーを収集するための完全に別の方法です。
- ただし、ユーザーが登録されると、クライアント サイトはユーザー名、電子メール、パスワード、名、姓のデータを client_id およびクライアント シークレットと共に渡し、OAuth2 許可タイプ
client_credentials認証を使用します。 - この渡されたユーザー データにより、メイン システムにユーザー レコードが作成されます。(主な用途)
- この後、クライアント サイトが OAuth2 グラント タイプ パスワードを介してメイン システムを呼び出し、
client_id、client_secret、ユーザー名とパスワードを送信するたびに、「認証トークン」を取得し、このトークンを使用してメイン サイトと通信できるようになります。
長い道のりのように思えますが、ユーザー レコードをメイン システムに保持するという問題を解決します。これを行う他の方法があるかどうか興味がありますか?お知らせ下さい。