Java 独立rest服务的Spring引导安全性
假设我正在构建一个具有端点的Spring引导REST服务Java 独立rest服务的Spring引导安全性,java,spring-boot,authentication,spring-security,oauth-2.0,Java,Spring Boot,Authentication,Spring Security,Oauth 2.0,假设我正在构建一个具有端点的Spring引导REST服务 /users/myself /users/myself/books 我在数据库中存储了用户和书籍 当然,您需要通过身份验证才能访问这些资源,但每当我搜索“SpringREST安全性”时,它基本上会给您三个选项 基本授权 OAuth2 JWT代币 你几乎看不到有人提议使用会话进行身份验证,这对我来说毫无意义,尤其是在小型独立服务中。原因如下: 对于身份验证来说,基本身份验证从来都不是一个好主意,因为这需要在某些存储器中存储username
/users/myself
/users/myself/books
我在数据库中存储了用户和书籍
当然,您需要通过身份验证才能访问这些资源,但每当我搜索“SpringREST安全性”时,它基本上会给您三个选项
那么,为什么不使用会话进行身份验证呢?通常动机是围绕API客户端的安全以及它们如何与API连接。特别是当他们是公共客户时,现代安全可能成为热门话题
- 浏览器用户界面
- 移动用户界面
从架构上讲,还有很多其他好处——尽管您认为存在技术挑战是正确的。因此,通常情况下,选择这种飞跃的时间并与利益相关者达成一致。这是否回答了您的问题?