我正在使用RESTful API,它可以作为移动应用程序的后端。
底层系统基于Jersey和Jetty服务器,但我的问题更通用(适用于任何符合JaX-RS标准的系统)。
我正在寻找一种标准解决方案来保护它。我读到了很多关于JWT,令牌,......和OAuth的答案。
但除了OAuth之外的所有解决方案都没有标准,除了github上的一些基本示例之外,没有任何实现。
我担心OAuth似乎是您的API上第三方访问的一个很好的解决方案,但我认为这对于直接访问而言是一个很大的开销。标记化,来自移动应用程序或网站AJAX。我很难接受这是唯一可用的解决方案。
我在这里问,我对OAuth(为第三方访问而设计)是错误的吗?或其他访问解决方案不可用(例如开源),因为它们只是为特定目的而定制的?
我的方案要求:
令牌应该是自我认证的(例如JWT),因此代理/负载均衡器可以在到达端点之前过滤掉未签名的。
不需要令牌/续订系统,因为我们有一个持有SESSION的分布式缓存,因此缺少会话意味着授权已过期/已被撤销。
第二个,可能不是真的,好像我们向应用程序颁发证书一年,并在1小时后撤销它。攻击者仍然可以使用此令牌来“挫败”#34;我们的缓存为1年。