标签: java authentication jax-rs jersey-2.0
docs和Here是处理基于REST令牌的身份验证的最佳做法的良好示例。
但就我而言,我担心一个用户使用自己的令牌来修改另一用户的数据。当我们仅验证用户是否具有有效令牌以及令牌是否为正,然后执行用户要求的任何操作时,就会出现问题。
当然,最简单的解决方法是检查授权用户id与请求JSON中的用户(例如user_id)是否相同。但这很繁琐(所有端点都需要这种逻辑)并且容易出错(我们可能会忘记为一个端点执行此操作)。
id
user_id
有没有什么方法可以自动化?