使用oauth保护spring restfull Web服务是一个不错的选择吗?
[英]Securing spring restfull web service with oauth is a good approch?
问题描述
我不是安全专家。 我们已经准备了带有Spring安全性的spring restfull Web服务。
现在,我真的对确保Web服务安全的最佳方法感到困惑。
我们还将有SSL连接。 我们的Web服务将由我们的移动应用程序和Web应用程序使用。
我读到有关Oauth 1.0和2.0协议的当今非常流行的授权Web服务。
因此,任何人都可以指导我使用Oauth机制,因为它主要用于访问第三方数据。在我们的情况下,这不是必需的,但是我们的客户端方法使用OAuth2.0或带有SHA哈希算法的SSL可以很好地保护Web服务?
1 个解决方案
解决方案1
1 2014-11-12 12:36:51
如果没有访问您的Web服务的第三方客户端应用程序,则不需要OAuth 2.0。 HTTPS + 基本身份验证可能就足够了。
如果您将来有可能希望允许第三方客户端应用程序访问您的Web服务,则值得一开始就基于OAuth 2.0架构设计Web API。 在这种情况下,您首先要在RFC 6749 (OAuth 2.0)中定义的四个流程中首先实现“ 客户端凭据流程 ”。 “客户端凭据流”不需要最终用户的授权。 也就是说,该流程仅关心客户端凭据(客户端ID和客户端机密)。 客户端凭据流的初始实现将仅向客户端应用程序颁发访问令牌。
我对OAuth 2.0的一句话定义如下。
OAuth 2.0是一个框架,在该框架中,服务的用户可以允许第三方应用程序访问其在服务中托管的数据,而无需向应用程序透露其凭据(ID和密码)。
是否应采用OAuth 2.0取决于第三方客户端应用程序是否访问您的Web服务。
Spring RESTfull Web服务+ AngularJS HTTP 404错误
[英]Spring RESTfull Web Service + AngularJS HTTP 404 error
Spring安全保护服务层,Web服务层或两者兼而有之?
[英]Spring security securing the service layer, the web-service layer or both?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.