作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我需要创建一个SpringBoot RESTful API,以供Web项目或移动应用程序使用。
我的问题是如何在没有通常的基本授权的情况下保护它的安全,该基本授权会向您返回Web浏览器的“jsessionid”并维护 session 。对于Web项目而言,这不是问题,因为它可以存储该jsessionid。但是如何保护移动应用程序对API的请求呢?
对不起我的英语不好。谢谢。
最佳答案
architectural constraints of REST之一是它必须是无状态的。
您的REST API不得包含对客户端进行身份验证的 session 。相反,客户端应传递通常放置在Authentication
HTTP header 中的某种 token 。
JWT和OAuth 2.0都是执行此操作的非常流行的方法,并且您可以根据需要完全将HTTP基本身份验证与OAuth 2.0结合使用。
这是一篇名为Stateless Authenticaiton with Spring Security and JWT的文章。希望这会有所帮助!
关于spring - 如何在不维护jsessionid的情况下在Spring Boot中保护RESTful API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37681151/
我是一名优秀的程序员,十分优秀!