我们正在设计一个可通过移动应用和网络应用访问的应用程序。
移动应用程序将使用公开的REST API(我们使用CXF)获取数据。对于Web应用程序,我们使用的是Spring MVC,它还将从REST API获取数据。在这两种情况下,我们都希望为经过身份验证的用户显示数据。对于身份验证,我们使用的是JWT令牌。
我的问题是,我们提供了两种通过REST或Web访问数据的方法,两者都需要身份验证。我们如何在两个组件中重用我们的安全代码。
网络组件的网址 http://localhost:8080/web/resource/
REST API组件的URL http://localhost:8080/rest/resource/
身份验证的网址 http://localhost:8080/auth/
最初,我们考虑为每个组件设置两个不同的过滤器,即Web和REST。从它们中的每一个开始,我们将对身份验证API进行REST调用以验证令牌。这种方法的一个疑问是,如果用户通过网络,那么通过这种设计,我们将验证令牌两次。因此,最好从REST API调用身份验证API,避免在Web中使用它,因为rest api将始终进行身份验证调用。
还有其他更好的方法吗?