来自Java初学者的问题
什么是保护对某些java SOAP/REST Web服务的访问的最佳解决方案,协议或框架(教程)?
任何与弹簧安全相关的内容(教程)?
通过保护访问,我的意思是身份验证和授权。
我建议看看Keycloak,它对我们来说非常好,允许大量自定义,并且很容易在任何应用程序上部署和集成。
集成的 SSO 和 IDM,用于浏览器应用程序和 RESTful Web 服务。 建立在OAuth 2.0,Open ID Connect,JSON Web Token(JWT)和SAML 2.0规范之上。 Keycloak与各种平台紧密集成,并具有HTTP安全代理服务,而我们没有紧密集成。 选项是将其与现有应用服务器一起部署,作为黑盒设备,或作为 Openshift 云服务和/或磁带盒进行部署。
我认为你应该使用 OAuth2 框架进行授权,它在 spring-security 中有一个实现。OAuth2被Facebook,Google LinkedIn广泛使用。
至于 SOAP API,您可能需要检查此链接
Secure Web Services: REST over HTTPS vs SOAP + WS-Security.哪个更好?