[英]Secure Public facing rest api
我正在開發面向公眾的Web服務。 身份驗證是由第三方完成的,我們對此沒有任何控制權。 當用戶訪問我的頁面時,我可以通過將請求發送到第三方url來手動觸發身份驗證過程,后者又會向我發送響應,提示請求是否有效。 如果有效,則可以在cookie中設置一些值,以便以后用於發送用戶信息。 要求公開一種Web服務,該服務可以檢查請求是否未被篡改以及用戶是否已通過身份驗證。 如果通過了驗證,則請求的用戶信息屬於詢問信息的同一用戶。
如果我只是使用cookie信息,那么它就不安全,任何人都可以更改它並且可以訪問其他用戶數據,因此我假設應該進行某種令牌身份驗證或密鑰共享以進行加密/解密,但是我可能完全錯了: )
如果應用程序(服務器/ URL)被授權訪問該應用程序。 用戶X應該只能訪問用戶X數據,而不能訪問用戶Y數據。
我正在使用Spring Web Services作為Web服務。 我遇到的大多數示例都考慮到登錄表單,其中用戶填寫了用戶ID / pwd,這在我的情況下不可行。
我被困在這個時間點上。 任何指針表示贊賞。 也歡迎任何參考鏈接。
看看JWT (JSON Web令牌); 我想這就是您要尋找的東西,盡管我不確定對方是否會在此方面足夠靈活。
從部署在公共端口(面向 Internet)上的 Angular 應用程序訪問部署在私有端口上的 Rest API
[英]Accessing Rest API deployed on private port from a angular app deployed on public port (Internet facing)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
