我正在开发一个最终将落在付费墙后面的api-在我的情况下,客户可以注册并为api层/计划付费,然后可以从自己的应用程序中使用该api。取决于所选的层,它们将对api有一定的使用限制(例如,节流/限制和取决于层的各种api)
我当时正在考虑分发api_key,以使客户端易于使用,但是不确定这是否是个好主意,或者不确定它是否适合Jhipster安全模型。
我想我可以让客户登录以获取JWT访问/刷新令牌,但这会使潜在客户变得更加复杂。
答案是“完整Oauth2”并创建Okta身份验证服务器的单独“应用程序客户端”,并为每个客户提供自己的“ clientId +机密”,他们可以用来获取访问令牌吗?
有什么建议吗?
谢谢
答案 0 :(得分:0)
我认为使用jhipster UAA服务器很容易,因为它用作:
OAuth2授权服务器,基于Spring Boot的实现 身份管理服务器,公开了用户帐户CRUD API
基于OAuth2标准,可以很容易地与您已有的jhipster技术堆栈集成。
但是对于度量和限制部分,您将需要一些编码和单独的快速,高可用存储空间,以跟踪API的使用情况,并向HAproxy提供文件作为黑名单供已达到限制的人使用重定向到购买页面。