问题标签 [stormpath]

Bluemix 中有多个关于身份验证的教程，但我还没有找到关于授权的好教程。在我的移动应用程序中，我需要对用户进行分组，并且只有具有组的用户才能看到允许进入该组的消息。是否有服务可以帮助实现这一点？

论坛里有人提到Stormpath，它内置了用户注册、登录、授权等功能，这正是我所需要的。它适用于移动应用程序吗？它可以免费与 Bluemix 一起使用吗？它有与 node.js 集成的教程，假设它适用于 Bluemix？

谢谢。

郑

我正在尝试在 Heroku 上托管我的应用程序。它使用 Stormpath 进行用户管理，特别stormpath-sdk-angularjs是stormpath-sdk-express. 我已经将我的 Stormpath API 凭据加载到 Heroku 的配置变量中，并将它们包含到我服务器上的 Stormpath 中间件中，如下所示：

我不断得到的错误heroku logs是：

ResourceError：HTTP 401，Stormpath 401 ( http://www.stormpath.com/docs/quickstart/connect )：需要使用有效的 API 密钥进行身份验证。]

2015-09-23T13:54:04.209032+00:00 app[web.1]: userMessage: '需要身份验证'。

但是我知道我的凭据是正确的，因为我可以在本地启动我的应用程序。我什至硬编码了 API 凭据，直接从 Heroku 配置复制，以确保我能够在本地启动。为什么这不起作用？

编辑：

在 Stormpath 中间件之前使用的中间件。

我正在尝试为用于$httpBackend模拟 http 请求的服务编写单元测试。现在我只是想开始expectGET工作，但我收到以下错误：

我尝试了各种注入 $httpBackend 的方法，包括

1.

2. 不包括module('ngMock');
3. 用于$injector获取依赖项

IE：

dataService是我要测试的服务。它包含使用 http GET 请求从后端检索数据的方法。

虽然stormpath-sdk-angular.js在堆栈跟踪中提到了，但我认为这不是问题，因为这个测试应该被隔离。顺便说一句，我很好奇它为什么在那里。引发错误的stormpath-sdk-angular.js代码是这样的：

编辑：事实证明，stormpath 令牌会在 4 秒内过期。有谁知道如何改变这个？

我有一个使用 nodejs 编写的 REST API。我正在使用stormpath来管理我的用户。

我首先要求用户生成一个我使用stormpath.authenticate 的JWT 令牌。此后对 API 的所有请求都使用此令牌进行身份验证。但是我不太清楚如何使用stormpath对请求进行身份验证。

当我尝试调用stormpath.authenticateApiRequest 时，我总是收到令牌过期错误。

有人对这个有经验么？

验证用户：

令牌在 REST 响应中发回。但是我得到的令牌只有 4 秒。一个示例令牌：

Stormpath 的登录视图https://docs.stormpath.com/nodejs/express/latest/product.html#disable-the-built-in-views与我的应用程序其余部分的样式不匹配。我可以通过提供自己的样式或完全替换视图来自定义外观吗？

我试图找到这方面的文档，但我能找到的只是StormPath 允许禁用内置视图。

我正在创建一个 Spring Security 配置，供任何想要创建由 Spring Security 保护的 Stormpath Spring 应用程序的开发人员用作库。

为此，我WebSecurityConfigurerAdapter通过. 所有这些都可以在这个抽象类及其具体子类中看到：configure(HttpSecurity)AuthenticationProviderconfigure(AuthenticationManagerBuilder)

简而言之，我们基本上是在定义我们的登录和注销机制，并集成我们的 CSRF 代码以与 Spring Security 的代码完美配合。

到目前为止，一切正常。

但这只是“库”，我们希望用户在它之上构建自己的应用程序。

因此，我们创建了一个示例应用程序来演示用户将如何使用我们的库。

基本上用户会想要创建自己的WebSecurityConfigurerAdapter. 像这样：

如果确实需要，则WebApplicationInitializer如下所示：

所有这些代码都能正确启动。如果我去，localhost:8080我会看到欢迎屏幕。如果我去，localhost:8080/login我会看到登录屏幕。但是，如果我去，localhost:8080/restricted我应该被重定向到登录页面，因为我们有这一行：http.authorizeRequests().antMatchers("/restricted").fullyAuthenticated();。但是我看到的是Access Denied页面。

然后，如果我在应用程序的访问控制中添加登录 url，如下所示：

它现在将我重定向到登录页面，但是一旦我提交凭据，我就会遇到 CSRF 问题，这意味着我们所有的配置实际上都不是这个过滤器链的一部分。

当我调试它时，似乎每个WebApplicationInitializer都有自己的实例和自己的过滤器链。我希望它们以某种方式连接起来，但似乎它实际上并没有发生......

有人尝试过这样的事情吗？

顺便说一句：作为一种解决方法，用户可以public class SpringSecurityWebAppConfig extends StormpathWebSecurityConfiguration代替SpringSecurityWebAppConfig extends WebSecurityConfigurerAdapter. 这种方式可以工作，但我希望用户拥有纯 Spring Security 代码，并从我们StormpathWebSecurityConfiguration与该目标的分歧中延伸出来。

所有代码都可以在这里看到。Spring 的 Stormpath Spring Security 库位于extensions/spring/stormpath-spring-security-webmvc. 使用该库的示例应用程序位于examples/spring-security-webmvc.

运行起来非常简单……您只需要按照此处的说明注册到 Stormpath 即可。然后您可以签出spring_security_extension_redirect_to_login_not_working分支并像这样启动示例应用程序：

然后你可以去localhost:8080/restricted看看你没有被重定向到登录页面。

很感谢任何形式的帮助！

我有一个使用 Stormpath 进行身份验证的 Express/Angular 应用程序。一切都适用于我的本地实现，但是当我尝试推送到 Heroku 时，它会因以下错误而崩溃。

错误：

快递服务器：

我们正计划为我们的一个应用程序创建一个身份和访问管理系统，并且使用 Stormpath 在投资回报率方面非常有意义，因为其中一个决定是让 IAM 系统抽象出 Stormpath，所以如果需要我们可以替换它与替代品（自定义或其他 SaaS）一起使用。

请让我知道以下流程在技术上是否可行。

到目前为止，Grant 类型将是 password_grant，因为我们正在验证我们的 REST 服务并且不为 3rd 方应用程序提供 API

Strompath 默认注册工作流程支持电子邮件验证，我们希望执行 SMS OTP 验证，因为我们的主要业务案例是针对移动用户的，想知道下面的技术流程是否可以使用它的 API。

这是处理这种情况的有效方法吗，因为这里涉及多个 n/w 跃点和多个系统，或者 Strompath 是否提供任何有效的方法来处理这种情况。

我一直在关注Heroku Stormpath 文档来设置一个简单的 Express 应用程序。我的 server.js 文件中的代码如下所示：

请原谅我是 Stormpath 的新手。我也查看了 Express-Stormpath 文档，但是在本地运行应用程序时我继续收到以下错误：

我已经通过 Heroku 配置了 Stormpath 插件，heroku config在终端中运行时，我看到传入的所有变量stormpath.init都可用。有人可以告诉我我做错了什么吗？