我正在开发一个Web应用程序(后端:JAVA /无状态REST API)(前端:Angular),最终放在另一个Web应用程序中。(假设是父应用程序)。 基于会话的父应用程序通过用户名/密码处理身份验证,并为每个用户创建令牌。一旦用户能够登录父应用程序,他或她也应该能够访问我的应用程序。值得一提的是,令牌也可用于通过我的应用程序的SOAP调用来检索用户数据。
我的想法是使用我的前端组件获取此令牌并将其发送到我的REST Api。我将把这些令牌保留在并发哈希映射中,并且对于来自FE的每个调用,我将检查BE上的令牌以进行授权。我想知道这是否是正确的方法?
答案 0 :(得分:1)
当父应用程序的会话过期或用户注销时,令牌无效?
如果是,您的应用如何知道令牌无效?这是检查BE上的令牌吗? (这需要为每个请求完成)
如果共享会话不是一个选项,那么您的方法是合理的。
另外,为了安全起见,REST调用应始终为HTTPS(如果没有,则拒绝请求),并考虑将标记传递到标头而不是URL作为查询参数。