使用 Spring Boot 保护移动应用程序和微服务的 Rest API [关闭]

Posted

技术标签:

【中文标题】使用 Spring Boot 保护移动应用程序和微服务的 Rest API [关闭]【英文标题】:Securing Rest API for mobile applications and micro-services using spring boot [closed] 【发布时间】:2020-04-19 22:10:59 【问题描述】:

我们正在使用 Spring Boot 开发一些微服务。这些 Rest API 将被移动应用程序使用。使用 Spring Boot 框架本身保护移动应用程序的这些 API 的最佳和推荐方法是什么。我没有为移动应用程序保护 api 的经验。 非常感谢您的建议。

需要考虑这些方面。

如何生成令牌 如何存储令牌 如何刷新和过期。 移动应用程序应何时接收令牌

谢谢

【问题讨论】:

【参考方案1】:

我建议使用现成的身份管理解决方案,例如开源 Keycloak 或付费提供商,例如 Auth0,而不是自行重新实现安全轮。两个命名选项都有简单的 Spring Security 适配器。

典型的方法是使用 OAuth2 和通过 PKCE (https://www.oauth.com/oauth2-servers/pkce/) 扩展的授权代码授予流程。

【讨论】:

以上是关于使用 Spring Boot 保护移动应用程序和微服务的 Rest API [关闭]的主要内容,如果未能解决你的问题,请参考以下文章

如何在不维护 jsessionid 的情况下在 Spring Boot 中保护 RESTful API

使用 spring-boot OAuth2 服务器保护的 Spring-boot 应用程序

使用 CAS 保护 Spring Boot Rest 服务

spring boot 与 shiro的简单整合使用

如何使用 Spring Boot 保护单页应用程序

在 Spring Boot 中使用令牌保护 api