我有以下的情况:我们有几个web应用中,都使用Spring Security的做认证/授权。 我们希望创建一个将所有这些web应用中使用的Web服务。 通讯将hapen通过https。
我想在Web应用程序的安全上下文传播到web服务,所以在web服务实施工作中的方法@Secured注释正确。 我已经看了春天的WS安全 ,并已成功使用的UsernameTokenProfile实施认证。 但我似乎无法找到一个基于标准的方式转让授权信息(即用户的角色)。
- 有没有在Spring办法做到授权,web服务? (SAML,XACML?)
- 在web服务使用的身份验证春天在什么时候,甚至建立一个SecurityContext的? 如果调试我的代码,并要求SecurityContextHolder.getContext()我得到空(我假设我的请求是由1个线程处理)。
