【发布时间】:2019-07-13 22:54:07
【问题描述】:
我们有一些端点,它们是安全的,在访问它们之前,我们正在验证 jws 是否正确。为了做到这一点,我们定义了一个 SecurityContext ,它实际上持久化了 Auth pojo 并在下游将其操纵到控制器中。 SecurityWebFilterChain 配置如下所示:
@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
return http.csrf().disable()
.formLogin().disable()
.logout().disable()
.httpBasic().disable()
.securityContextRepository(securityContext)
.authorizeExchange()
.anyExchange().authenticated()
.and()
.build();
}
调用是在内部进行的,我们刚刚验证了 jws 令牌。
现在一些外部客户端需要与我们集成,我们需要验证一个 jwe 令牌。问题是,我们需要以某种方式告诉 spring-security 来验证现有端点 jws 和新端点 jwe。
我尝试指定多个安全匹配器,但失败了 :(。您还有其他建议吗?
【问题讨论】:
标签: spring-boot spring-security spring-webflux