Spring Security теперь поддерживает «волшебные ссылки» через одноразовые токены. Пользователь запрашивает токен, получает ссылку на электронную почту, и переходя по ней, автоматически авторизуется.
Для использования этой фичи достаточно добавить
После запроса токена
Хотя реализация одноразовых токенов в Spring Security довольно гибкая, есть некоторые недостатки, которые необходимо исправить. Кастомизация токена в данный момент требует реализации собственного
Изображение носит иллюстративный характер
Для использования этой фичи достаточно добавить
oneTimeTokenLogin в конфигурацию SecurityFilterChain. Spring Security предоставляет InMemoryOneTimeTokenService для тестирования и JdbcOneTimeTokenService для кластерных сред. Генерация токена и создание волшебной ссылки по умолчанию осуществляется через /ott/generate, но это можно изменить. После запроса токена
OneTimeTokenGenerationSuccessHandler формирует волшебную ссылку и отправляет ее пользователю по почте. При переходе по ссылке пользователь попадает на страницу с формой ввода токена, которая, впрочем, не обязательна. Аутентификация происходит через OneTimeTokenAuthenticationProvider, который верифицирует токен. Хотя реализация одноразовых токенов в Spring Security довольно гибкая, есть некоторые недостатки, которые необходимо исправить. Кастомизация токена в данный момент требует реализации собственного
OneTimeTokenService. Разработчики обещают в будущих версиях добавить GenerateOneTimeTokenRequestResolver, чтобы можно было кастомизировать токен более простым способом. Также находится в разработке R2dbcReactiveOneTimeTokenService.
