我对 Spring 安全总体而言是新手,对此感到有些困惑。
我正在尝试与之集成的项目使用X509证书来标识用于登录该应用程序的用户。没有用户名或密码。我们确认证书是好的,并且已经授予他们访问我们的应用程序的权限。
问题是如何将spring集成到其中以使用X509证书获得其角色?
我看过this:
<http>
...
<x509 subject-principal-regex="CN=(.*?)," user-service-ref="userService"/>
...
</http>
但是我不知道这是如何工作的。仍然需要输入密码吗?还是只需要该主题?
最佳答案
我认为这就是它所需要的。我认为该模型是TLS协议(protocol)使用公钥加密技术确定用户/客户端“拥有”证书的过程,这些技术归结为用户/客户端知道证书的私钥。假设只有用户会知道他自己的私钥,因此可以证明该 key 知识的人/任何人都是用户。