我正在研究防止直接访问我的公共匿名Spring REST API的两种方法之一。要么执行以下操作之一:
1)使用客户端凭据流并保护客户端凭据的密码,例如与我的Angular UI应用程序和我的Spring REST应用程序驻留在同一服务器上的Hashicorp Vault。我想验证客户端,而不是用户。我喜欢这种凭据方法比下面的#2更好,因为将来我可以为移动客户端和需要用户身份验证的其他桌面客户端使用密码流。
2)Spring REST控制器上的白名单URL仅允许来自我的Angular UI客户端的请求。这种方法似乎对IP变化的移动客户端无效。
任何人都能说出我的困境吗?
感谢。