以前,我不必在服务器上使用HTTP身份验证。 但他们给了我一个任务。
“我们有足够的密码验证。我们决定了 客户端之间将有足够的身份验证层 (AngularJS)和Web服务器(RESTful,Jersey)。“
您能提供建议或建议文献吗?
答案 0 :(得分:-2)
REST API资源是无状态的。它需要是安全的。在每次休息呼叫时,必须进行身份验证以确保合适的人员访问这些API。这并不意味着每次通话都会使用username和password。
行业标准身份验证协议有助于减少保护API的工作量。可以使用自定义安全协议,但仅限于非常特定的情况。 This blogs涵盖了OAuth1.a,OAuth2.1等主要内容中的一小部分。
This链接说明基于令牌的身份验证,您需要开始保护API的所有内容