使用 Spring Boot 保护移动应用程序和微服务的 Rest API [关闭]
Posted
技术标签:
【中文标题】使用 Spring Boot 保护移动应用程序和微服务的 Rest API [关闭]【英文标题】:Securing Rest API for mobile applications and micro-services using spring boot [closed] 【发布时间】:2020-04-19 22:10:59 【问题描述】:我们正在使用 Spring Boot 开发一些微服务。这些 Rest API 将被移动应用程序使用。使用 Spring Boot 框架本身保护移动应用程序的这些 API 的最佳和推荐方法是什么。我没有为移动应用程序保护 api 的经验。 非常感谢您的建议。
需要考虑这些方面。
如何生成令牌 如何存储令牌 如何刷新和过期。 移动应用程序应何时接收令牌谢谢
【问题讨论】:
【参考方案1】:我建议使用现成的身份管理解决方案,例如开源 Keycloak 或付费提供商,例如 Auth0,而不是自行重新实现安全轮。两个命名选项都有简单的 Spring Security 适配器。
典型的方法是使用 OAuth2 和通过 PKCE (https://www.oauth.com/oauth2-servers/pkce/) 扩展的授权代码授予流程。
【讨论】:
以上是关于使用 Spring Boot 保护移动应用程序和微服务的 Rest API [关闭]的主要内容,如果未能解决你的问题,请参考以下文章
如何在不维护 jsessionid 的情况下在 Spring Boot 中保护 RESTful API