我目前正在使用Play Framework 2.3开发REST / JSON API。我目前正在考虑一种有效而简单的方法来保护API。安全性,我的意思是某些操作需要对最终用户进行身份验证才能被接受。
目前,我依赖于Play Framework会话管理(作为提醒,它将所有会话数据存储在每个查询中发送的签名cookie中 - 因此,它是无状态的,即使cookie可以是由客户端读取,无法更新)。
流程非常简单:
我的问题如下:我是否真的需要在安全方面更进一步?我找不到这个现有机制无法正常工作的原因......
提前致谢!
PS:目前我既是API的开发者又是消费者,并且没有计划公开发布它。
PPS:我正在开发的客户端是一个使用AngularJS的简单webapp
答案 0 :(得分:1)
你不需要。这是正确的解决方案。
您可以考虑仅在可用性方面转到令牌。
当然我假设您使用https。