REST服务的基于令牌的身份验证:在服务器端存储生成的令牌的位置?

时间:2015-05-15 08:56:24

标签: java spring rest spring-mvc spring-security

我正在尝试为基于Spring MVC的REST服务实现令牌身份验证。

我跟随这个回答:https://stackoverflow.com/a/10864088/1061499作为指导,但现在我需要了解服务器端的一些细节。

当用户成功通过身份验证(第一次通过用户名+密码)后,我返回一个存储某些信息的令牌。 当同一个用户在请求标头中发送了他的令牌时,我需要识别关联的用户并定义“会话”是否仍然存在。

所以方式基本上是两个:

  1. 使用算法加密令牌(哪一个?)我也可以用来在服务器端解密并提取用户信息
  2. 在应用程序DB中存储令牌 - 用户关联信息,同时存储会话信息。

    3. 大多数建议使用第一个解决方案,而不在DB中存储任何有关身份验证的信息,但这种解决方案在我看来不太安全。

    有什么建议吗?

0 个答案:

没有答案
相关问题
最新问题