使用 OAuth2 和 JWT 保护 Restful Web 服务

【问题标题】:Securing Restful Web Services with OAuth2 with JWT使用 OAuth2 和 JWT 保护 Restful Web 服务
【发布时间】:2015-07-08 13:41:15
【问题描述】:

嗨,我是 Apache cxf REST API 安全方面的新手。我想休息具有良好授权安全性的 API。我发现 Apache cxf 提供了 Ouath2 安全功能(http://cxf.apache.org/docs/jax-rs-oauth2.html).So 我需要使用 json Web 令牌(@987654322 @) 发送到 API 进行授权。只需使用安全线路发送请求到休息 API。到目前为止我的设计很简单。

我的 REST api 对数据库有 CRUD 操作。我想在请求标头中将 JWT 作为访问令牌发送。API 端验证用户并将数据发送回用户。我有两个问题。第一个是这是最好的设计吗对于这种应用程序。第二个是如果这是生成令牌的最佳方式,并且我们需要将这些令牌保留在服务器端。

【问题讨论】:

    标签: web-services api oauth-2.0 cxf jwt


    【解决方案1】:

    是的,这是一个很好的设计

    我可以用github web api的解释一下

    Authorize

    首先,你通过在请求中发送客户端 ID 和回调 url(在这里你指定访问级别 ie.scope)来验证你自己是否使用 API,然后你会收到一个代码

    Access_token

    然后你用这个代码交换访问令牌(这次在 req 参数中包含客户端密码)

    收到的此访问令牌将用于您代表用户进行的所有未来调用

    你在服务器上存储这个令牌并刷新令牌

    https://developer.github.com/v3/oauth/#web-application-flow

    虽然这是特定于 github 的,但类似的流程适用于 twitter ,链接到 facebook web api 并略有不同

    【讨论】:

    • 以防万一你在 node js 上有一个很棒的框架 passport.js http://passportjs.org/
    猜你喜欢
    • 2018-06-13
    • 1970-01-01
    • 2014-09-13
    • 2013-12-29
    • 2011-06-16
    • 2016-04-10
    • 2017-01-24
    • 2017-01-19
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode