Java EE 6 中基于令牌的身份验证

Question

我想为类似于以下的场景实现基于令牌的身份验证机制：

在 Google 日历中，您可以邀请来宾参加您的活动，而来宾可以直接通过电子邮件邀请来响应这些活动。此类活动的邀请包含相应的链接，用于使用 URL 中编码的身份验证令牌进行响应（是、否、也许）。这些身份验证令牌仅限于特定事件和用户。

生成这些只能执行有限操作并且只能访问有限资源（并且可能仅在有限时间内有效）的“一次性”令牌的最佳实践是什么？我如何在 Glassfish 中实现这一点？我想通过我的应用程序的 RESTful API 公开这一点（使用 Jersey）。目前，我的应用程序中的所有 URL 路径都通过身份验证约束进行保护，该约束是我在 web.xml 中配置的。

我的方法如下：

1. 提供一个不应用身份验证约束的 URL（例如 /token_auth），并将其用于令牌身份验证。
2. 在 Web 服务方法中，手动检查安全令牌并执行所需的操作。令牌与用户名、到期日期、授权资源等信息一起保存在数据库中。

我想知道是否有更优雅的解决方案使用任何框架或内置容器功能来避免所有手动工作。以及该解决方案是否可能存在一些安全缺陷。

之前也有人问过类似的问题：Newbie at JAASauthentication;使用网址栏中的令牌登录

Answer 1

您研究过 UUID 吗？

在工作中，我们使用 Safehaus UUID。

Answer 2

你的方法看起来不错。我不知道有什么框架可以为你做这种事情。 Spring Security 可能有一些你可以使用的东西，但不是全部。