在JERSEY Framework上开发的REST API中实现授权的最佳方法。例如,以下是我的API端点URI,我想授权,以便只有人访问API。
/ API / swimpool / V1 / swimpool / 12
我读了几篇关于保护REST服务的文章,但他们在tomcat环境中的tomcat-users.xml中处理了身份验证和静态配置,在应用程序的web.xml中进行了很少的配置。
基于令牌的身份验证是我遇到授权的身份验证。是否有任何替代方案或最佳实践来保护Web服务。
更新
Facebook应用程序如何保护资源,例如API会列出/显示给定相册中的照片。但是facebook如何保护(授权)端点不要访问其他人的专辑。
例如,用户A可以查看其相册中的照片,但无法查看其他用户B中显示的照片。用户 A 可能会尝试猜测API(因为所有API的API都相同)用户)调用以获取照片并修改路径参数并尝试获取详细信息。
由于