我在企业内部网上公开基于REST的API,以支持Web应用程序和其他服务。对于Web应用程序,基于cookie的解决方案符合我的要求。对于其他服务,基本身份验证就可以了。
但诀窍是,用户通过ldap进行身份验证,我不想为每个服务调用点击ldap服务器。我想知道是否有针对这种情况的最佳做法。
我使用Spring(3.2)和其他常见的嫌疑人,Spring Security,MVC,Hibernate ......
Ldap身份验证有点毛茸茸,所以我使用自己的东西,也许我可能会在那里引入某种缓存。
答案 0 :(得分:0)
进行一次LDAP查找。您的API可以保留经过身份验证的userIds的内存缓存。让缓存条目在固定的时间内或自上次呼叫进入后的一段时间内保持有效。客户端仍然可以使用cookie或基本身份验证来发送凭据。