我正在为需要用户身份验证的应用程序设计rest api。 身份验证基于用户名/密码,登录后,服务器返回一个access_token,将其放入所有未来请求的http标头中。
对于每个请求,我创建了一个过滤器,用于检查http头中的access_token params: - 如果存在,我要检查params是否与系统创建的相同 - 如果不存在,过滤器将返回401 Unauthorized。
RESTful ws是无状态的,所以我想知道关于access_token管理的最佳实践。我想将access_token存储在数据库中,但登录后的请求数量可能很大,所以我认为对于每个请求,数据库查询都太昂贵了。
您建议使用哪种方法? 谢谢。
答案 0 :(得分:0)
在我的申请中,我使用数据库存储access_token,因为我没有看到任何其他方式。您还可以查看spring-security-oauth和database schema