我正在为Spring中的Web应用编写后端。它使用Rest与前端通信。前端是基于浏览器的,因此它不能包含私钥。 我一直试图找出满足以下条件所需的安全类型:
1)用户登录并创建与用户对象
对应的令牌2)我使用此令牌回复登录请求
3)前端将令牌附加到我收到的每个请求,以便我知道用户正在发出请求。
每当我读到Spring安全性时,我会发现两件事,即oauth2和基本身份验证,我不断看到人们说这是不安全的。看起来我可以用oath2完成我想要的东西,但是当我真正尝试实现它时,它会变得非常混乱。
我想要的东西看起来很简单,我可以自己做所有的工作,但这似乎是一个糟糕的主意,因为我没有安全经验。例如,我可以将一个身份验证令牌的本地映射到用户对象,并将具有无效令牌的任何请求重定向到登录页面吗?考虑到重复的无效请求和令牌随时间的过期。
或者通过这样做我会错过一堆重要的安全功能吗?我可以研究哪些具体的单词来自己回答其中的一些问题?