我们正在开发一种产品,其中包含一组以Spring Rest API开发的微服务,这些API将使用Angular JS客户端(不是机密客户端到服务器通信)调用,并且还将相互交互(服务器到服务器通信) );我们正处于开发SSO解决方案的阶段,我们还希望基于每个API的用户角色实现授权,同时通过Spring Security获得更多潜力,我注意到对OAuth2标准的大力支持,但同时我看到了实施用于与Spring客户端集成的CAS服务器;现在我的问题是,为什么有人会使用CAS服务器而不是使用本机spring安全实现以及如何从CAS服务器传递角色?
您需要进一步研究集中式单点登录的概念以及架构中的不同组件。 Spring Security是一个客户端库,主要由应用程序用于联系某种服务器。 CAS,作为软件系统,是服务器。您的客户端应用程序可以使用您喜欢的任何库来联系“帐户来源”或“身份提供商”服务器。另一方面,服务器根据客户端的功能将根据所使用的身份验证协议的语义进行响应和响应。
一旦使用CAS协议验证令牌/票证,就会将角色或更准确地放置,属性和声明传递到客户端应用程序。其他协议或多或少提供相同的概念。