我正在开发React前端应用程序,相信我让CAS正确工作,以使用此软件包保护前端:https://www.npmjs.com/package/react-cas-client
现在我想保护我的后端,只允许应用程序访问API调用,可能使用JWT(或某种形式的令牌(。然而,我找到的所有指南都需要使用Spring Security,并通过用户名/密码来获得JWT。在这种情况下,我使用的是CAS,所以我没有用户名/密码可以传入
有人能给我指正确的方向吗?谢谢
如果你的ui与后端解耦,我认为这是基于你的描述,你可以使用代理授权票证来完成,你可以查看关于代理如何工作的官方文档。以下是在前端和后端解耦的情况下如何做到这一点的高级方法:
- 用户输入正确的用户凭据后,cas将做两件事,在ui上,您的响应包含一个proxyGrantingTicket,并将用pgtId和pgtYou向后端发送回调(这是您在前端收到的proxyGrantingTicket(
- 一旦您同时拥有pgtId和pgtYou,您将从现在起使用这些信息进行身份验证