没有用户名/密码的自定义身份验证

【问题标题】:Custom Authentication without username/password没有用户名/密码的自定义身份验证
【发布时间】:2016-07-28 14:33:50
【问题描述】:

我正在开发一个 Web 应用程序(后端:JAVA/无状态 REST API)(前端:Angular),它最终被放置在另一个 Web 应用程序中。(假设是父应用程序)。 基于会话的父应用程序通过用户名/密码处理身份验证并为每个用户创建令牌。一旦用户能够登录父应用程序,他或她也应该能够访问我的应用程序。值得一提的是,该令牌还可用于通过我的应用程序中的 SOAP 调用来检索用户数据。

我的想法是使用我的前端组件获取此令牌并将其发送到我的 REST Api。我会将这些令牌保存在并发哈希映射中,并且对于来自 FE 的每个调用,我将检查 BE 上的令牌以获取授权。我想知道这是否是正确的方法?

【问题讨论】:

    标签: java rest authorization token


    【解决方案1】:

    当父应用的会话过期或用户注销时,令牌是否失效?

    如果是,您的应用如何知道令牌已失效?是检查BE上的token吗? (需要为每个请求完成)

    如果不能选择共享会话,那么您的方法是合理的。

    此外,为了安全起见,REST 调用应始终为 HTTPS(如果不是,则拒绝请求),并考虑在标头中而不是在 URL 中作为查询参数传递令牌。

    【讨论】:

      猜你喜欢
      • 2021-06-30
      • 2011-07-04
      • 1970-01-01
      • 2011-10-23
      • 1970-01-01
      • 2020-10-10
      • 1970-01-01
      • 1970-01-01
      • 2012-11-13
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode