首页 文章

Spring Rest api和Spring Basic Security

提问于
浏览
0

你好,我是 Spring 天和 Spring 天安全的新人 . 目前我正在 Spring 季休息api工作 . 按照 Spring 天提供休息api . rest api是无状态的,所以我们不能创建一个休息api的会话 . 因为它反对其余的设计 . 所以我的问题是可以 we never maintain the state of user in server side in rest? can we maintain it client side?? How?? 在Spring基本安全性中我们登录并使用原理获取当前用户 . Spring 季休息认证中的情况相同 . 所以在 case of rest api all is need is currently logged user? . 如果spring rest api是无状态的,那么spring security如何维护当前登录的用户 . 我读了一些关于spring的块,我们使用基于令牌的身份验证,我们可以发送用户名和密码,然后我们获取令牌,每当我们请求发送该令牌并知道发送当前请求的用户时 . 令牌存储在cookie中 . 所以cookie存储在客户端 . 在这种情况下,如果浏览器禁用cookie how can we authenticate user and current user who logged in?

1 回答

  • 1

    REST与安全性无关,它与数据操作有关,而与安全无关 .

    因此,通常,您提供某种标识信息以及REST请求 . 它可以是一组凭据,一个令牌,一个加密的令牌,什么不是 . 例如,令牌的一种格式是JWT令牌 . 但理论上,您也可以使用不同的格式 .

    Spring安全性支持许多不同的流程 . 有时你必须在这里和那里扩展它并插入一些功能 . 但总而言之, spring 安全性是非常可扩展的,并且允许许多不同级别的灵活性,其设计用于支持许多不同的流程 .

    我知道这是一种理论上的答案,但问题也很理论:)

相关问题