我们构建了一个应用程序,直到最近,它还使用oauth 2.0模式接受身份验证。用户登录到与身份验证服务器协作以获取jwt的客户端网站。客户机web站点将jwt作为授权承载头包含在对资源服务器应用程序的每个请求中。使用SpringSecurity5.3编写的资源服务器负责检索身份验证服务器的JWK、批准jwt以及设置用户角色。这并不太难。
我们正在尝试启用直接由资源服务器托管的招摇过市ui页面(客户端web站点是单独构建和部署的)。我们试图提供两种不同的方法来安全地访问和使用swagger ui。不幸的是,两者似乎都需要使用cookie,而不是授权承载头:
认证服务器提供商提供了一个网关,可以“直接”登录到我们的swagger ui页面。页面请求提供了一个jwt作为cookie。我们将在今天晚些时候与该团队确认他们是否能够改变这一点。这可能是一个没有实际意义的问题,因为。。。
我们正在通过我们的客户网站实现一个链接,以访问swagger ui。我们还没有找到任何允许我们包含头的重定向方法。我们似乎被迫使用饼干。
当然,我们希望添加对从cookie(可能具有两个不同名称)检索JWT的支持,而不会丢失当前部署和使用的授权承载方法。
我曾经尝试过,但没有找到任何示例或教程来解释如何从cookie中提取JWT,更不用说同时支持这两种方法了。
我们怎样才能做到这一点?
暂无答案!
目前还没有任何答案,快来回答吧!