OpenAM 和 Spring Security 4 集成

Question

我正在构建一个带有数十个 RESTful Web 服务的 Spring-MVC-Hibernate 后端。前端可能是 HTML5、CSS3 和 JQuery 网络应用程序，它利用我正在开发的后端网络服务。

我们在 Tomcat 服务器上有一个 OpenAM 10.x SSO 系统，我们希望我们在身份验证时，这里没有授权规则或组。我看到的所有文档都是未知版本的 OpenAM 和 Spring Security 3。我们有 OpenAM 10.x，不知道升级到最新 OpenAM 的时间。我们计划使用目前最新的 Spring Security 4.0.3。

1) 我们可以做到这一点的一种方法是建立一个信任圈，然后建立一个 IDP 和一个 SP，然后我们将有一个 URL 来执行联合 SSO。我相信这就是我们的前端将如何获得身份验证并将令牌返回到前端并可能存储为 cookie。

2) 我看到的另一种方法是简单地调用 OpenAM restful api，传入用户名和密码并获取令牌。然后，该令牌将用于传递到后端 RESTful api 以确保安全。

我们肯定会为用户、角色和权限（授权）使用 Spring Security，那么我们可以这样做吗？对用户、角色和权限使用 Spring Security 4.0.3，但使用 OpenAM 进行身份验证？？？

任何信息都会非常有帮助。谢谢！

Answer 1

我们一直在用我们的一个应用程序做类似的事情。我们从使用 OpenAM 12 开始，现在使用 OpenAM 13 SNAPSHOT。

不过，我们一直在使用 OpenID Connect 进行集成，而不是 SAML。 这对我们来说是一个很好的起点：https://github.com/fromi/spring-google-openidconnect。

我们在 OAuth2ProtectedResourceDetails 中使用默认标头/基本方案，而不是示例中的表单。

在 OpenAM 上，您必须配置 OpenID Connect Provider。 OpenAM 13 中的步骤：

1. 以 amAdmin 身份登录。
2. 选择领域。
3. 登录页面（仪表板/领域概览）将列出常见任务。
4. 选择配置“OAuth Provider”，然后选择“配置 OpenID Connect”。
5. 选择默认值并点击创建。

然后您必须添加代理/客户端。 OpenAM 13 中的步骤：

1. 在领域配置页面中，选择代理。
2. 选择 OAuth 2.0/OpenID Connect 客户端。
3. 单击新建按钮，输入 client_id 和 client_secret 值并创建代理。
4. 点击新创建的代理，进一步配置redirect_uri、作用域等参数。

如果您无法选择 OpenAM 12 或 13 并且坚持使用 OpenAM 10，则此信息可能没有用。