我正在使用 Spring Security OAuth 构建具有基于令牌的身份验证的应用程序(使用这篇文章http://porterhead.blogspot.com/2014/05/securing-rest-services-with-spring.html)。
在下一步中,我想用令牌存储一些额外的数据。我决定,Spring Session 已经足够了。首先,它有HeaderHttpSessionStrategy(用户在自定义标头中发送会话 ID - X-Auth-Token),其次,它支持不同的存储(包括 Redis - 适合快速访问会话数据)。
Spring Security OAuth 使用Bearer Authorization,这意味着我需要创建子类 from HeaderHttpSessionStrategy,它将返回正确的会话 ID(而不是 from X-Auth-Token)。
所以我的问题是:
- 此刻如何在 Spring Security OAuth 中挂钩登录成功方法并使用提供的 ID(ID == 新生成的令牌)创建会话?
- 如何挂钩注销方法?
- 在这种情况下使用 Spring Session 是否正确?如果没有,有什么替代方案?