我已经看到了phonegap身份验证和基于JS的服务器应用程序身份验证。 我正在尝试为我的J2EE电子商务应用程序构建一个phonegap应用程序。 J2EE应用程序为我的phonegap应用程序提供了基于休息的api。我想使用OAuth身份验证,以便在移动屏幕上提示用户进行身份验证,如何实现这一目标?
我通过JS了解oauth身份验证,但是如何确保J2EE aplication正在获得经过身份验证的用户请求。
答案 0 :(得分:2)
您可以在网络应用中使用Stormpath Servlet Plugin。这为您实现了JS客户端+ OAuth令牌身份验证流程documented here。
当JS客户端获取返回的令牌时,它也会以仅HTTPS(仅限安全,仅限http)cookie的形式返回。对您的应用程序的所有未来请求将保留该令牌并发送它 - 服务器插件知道如何查看令牌,验证数字签名,以及'绑定'请求的用户帐户标识。
这使您可以使用服务器端会话(没有服务器端状态=高度可扩展性)安全地识别哪个用户在没有的情况下发出给定请求。只要您在登录前使用HTTPS直到用户退出,您就可以信任该身份。