最近项目用了 security 需要对接钉钉和企业微信的登录,看了下官方文档,在 5.2 之前需要引入一个 oauth 包,后面 5.2 需要引 ouah2-client 包,开开心心的引入了,才知道噩梦才开始
官方自带的配置文件使用 client_id 字段作为默认 appKey,但钉钉叫 appid 、、、需要单独配置一个 resolver 去替换
换好了,发起授权正常,轮到回调 code 了,默认的直接是直接把 code 码 post 到指定的网址,结果钉钉也不一样,需要签名,然后又配置一个 converter,
我现在犹如吃了屎一样难受,我直接自己写个应该已经好了也不至于浪费一天时间
 |
1
ifsclimbing Aug 16, 2021
人生苦短, 我用 python
|
 |
2
Sasasu Aug 16, 2021
「面向切面编程」
|
 |
3
Grande Aug 16, 2021  2
这味道比杯子里面的拿铁还新鲜
|
 |
4
HiShan Aug 16, 2021
这只是 Security 的一个认证功能吧。它还提供后续很多其他权限管理的功能不需要自己实现
|
 |
5
qwerthhusn Aug 16, 2021 2
从来不用 Spring Security,只是感觉这玩意增加工作量的
自己手写也不算很复杂 |
 |
6
jorneyr Aug 16, 2021
为了支持更多的第三方 OAuth2,直接用 JustAuth,ScribeJava 等 OAuth2 工具直接硬上,实现一个 OncePerRequestFilter 到 UsernamePasswordAuthenticationFilter 前面是不是更直观。
|
 |
8
MIUIOS OP @HiShan 是的 security 提供的一个用于 oauth2 认证的包,我起初天真的以为 这玩意拿来就能用,但是发现,钉钉的流程完全就是魔改了,如果要对接 github google,YouTube 等网站,可以用这个包,因为官方默认就提供了支持,配置几行就能用,国内的应用请直接避开,配置到最后你会发现根本用不了
|
|
9
MIUIOS OP 3
虽然吃了点亏 但还是把 oauth2 源码看了个遍 还是学了点东西
|
 |
10
ikas Aug 16, 2021
如果你又需要对接另一个接口.他又有不一样的配置,是不是自己又要 copy 代码写一套?
|
 |
12
daiqiangbudainiu Aug 16, 2021
这只能说明钉钉垃圾啊,手动狗头
|
|
13
MIUIOS OP @warcraft1236 钉钉的这个流程我是没想到 大意了 更骚的还是钉钉提供了 sdk 但没有上 maven 我只能自己传到私有库
|
 |
14
shot Aug 16, 2021 1
钉钉的锅,不要甩到 Spring Security 上。
|
 |
15
XhstormR02 Aug 16, 2021 via Android
Spring Security 还是很好用的
|
 |
16
a728976009 Aug 16, 2021
oauth2 协议里就是 clientid,这只能说明叮叮没支持标准的 oauth2 或 oidc 协议
|
 |
17
EarthChild Aug 16, 2021
可以安利客户使用企业微信。说钉钉不安全或维护费用成本较高。钉钉的锅,不要甩到 Spring Security 上。
|
 |
18
NXzCH8fP20468ML5 Aug 16, 2021
用过 aspnetcore 的 Identity 就知道 Spring Security 的真香了
|
 |
20
cp19890714 Aug 16, 2021 2
在微服务中使用 spring security oauth2 后, 我很后悔.
因为需要实现一些其中没有的 但并不复杂的特性, 得先看大量源码, 然后再改. 真折磨人. 花费的时间比自己手写都要长. 当然, 也可以说是自己选型失败, 对 spring security oauth2 的细节不熟悉, 导致与需求不符. |
 |
21
cwek Aug 16, 2021
没办法,中国和世界是不同的(摊手
|
 |
22
leon0318 Aug 16, 2021 via iPhone
@ifsclimbing 跳槽你就懂了,没啥公司用
|
 |
23
meshell Aug 16, 2021
你接微信,QQ 登录也这样的,我有个项目也这样,这些魔改过的 oauth2 用这些通用的库接起来真难受。
|
 |
24
wangxiaoaer Aug 16, 2021
@HiS #4 举个例子?
|
 |
25
vjnjc Aug 16, 2021
楼主说的没错,我记得 security 里的 role 也很魔性,要一个固定的 prefix
|
 |
26
unlimitedsola Aug 17, 2021
明明是钉钉不按规范实现 OAuth2, 不要甩到 Spring Security 上。
|
 |
27
changdy Aug 17, 2021
借楼 提问 spring 上面 比较好的安全认证框架是什么?
security 涵盖了太多的内容 ,感觉也不是为了 restful 而生. |
 |
30
fpure Aug 17, 2021
我不太理解,像认证鉴权之类需求真的需要框架来帮我们实现吗,这不应该是业务系统的职责吗,Spring Security 有存在的必要吗?
|
 |
31
huiyanpohundh123 Aug 17, 2021
用 springsecurity 实现 jwt 发现自己只用到了 SpringContext 这个全局上下文获取用户令牌用 和 借用了 HTTPBasicAuthFilter 的思想
|
 |
32
Oktfolio Aug 17, 2021
|
 |
33
chocotan Aug 17, 2021 1
各家的 oauth2 都有些魔改,spring-security 难道要每个都适配一下?
spring-security 的 oauth2-client 和同样是 Spring-security 的 oauth2 server 配合起来还是不错的。 |
 |
35
gitdoit Aug 17, 2021
要用 spring security,首先需要读源码,这就厉害了
|
 |
36
Cbdy Aug 17, 2021 via Android
别用 Spring Security
|
 |
37
Mithril Aug 17, 2021 2
|
 |
38
feelinglucky Aug 17, 2021
@Cbdy 那用啥?
|
 |
39
gmywq0392 Aug 17, 2021
老哥 如果是 OIDC 呢 最近也在做这个
|
|
40
Cbdy Aug 17, 2021 via Android
@feelinglucky 简单自己写一下
|
 |
41
leafre Aug 17, 2021
这些毒瘤不遵守 OAuth2.0 规范,能怪 Spring Security?
|
 |
42
cweijan Aug 17, 2021
@ifsclimbing 都什么年代了还吹 python
|
|
43
gmywq0392 Aug 17, 2021
还有,是不是老哥用的版本太新了
|
 |
44
raptor Aug 17, 2021
这也怪 SpringSecurity ?难道不是因为钉钉没遵守 OAuth2.0 规范么?
|
 |
45
a719031256 Aug 17, 2021
Security----靠谱
钉钉----垃圾 |
 |
46
siweipancc Aug 17, 2021 via iPhone 1
征集有志之士开发,一个国产的安全框架,能全自动适应国内魔改那种
|
 |
47
tt0411 Aug 17, 2021
"官方的 oauth2 包提供的思路非常不错" 指的是 钉钉 的包吗?
|
|
48
MIUIOS OP @gmywq0392 这个 oauth2 包也支持 OIDC 可以查看下 oauth2-client 包下的 oidc 源码,不多 就几个类 看一遍借鉴一下就 OK 了
|
 |
50
night98 Aug 17, 2021
国产的 sa-token 挺不错的,试用了一下效果还挺好,主要内置挺多功能的,比 security 自己要手写一堆东西靠谱
|
 |
52
xiaoxinshiwo Aug 18, 2021
@totoro52 常有的事,钉钉文档写的也很垃圾
|
 |
53
mikulch Aug 23, 2021
spring security oauth2 是真的很复杂。我们之前也做过调研,后来弃用了,太难了。
|
Select Language