我有一个通过 HTTPS 提供 REST API 的公共 Spring Web 应用程序。它目前仅使用 HTTP 基本身份验证。
我被要求实现 JWT 支持。我想这样做,但要保持简单 - 避免像 OAuth 这样的东西(自从以前的 spring-security-jwt
is deprecated 以来,这是当前 Spring 中必不可少的)。
据我所知,在没有 OAuth 的情况下使用 JWT(在 HTTPS 中)是安全的。所以我可以从 JWT 标准中受益,而无需专用的授权服务器。
我的想法是使用像 jjwt 和 Spring Security 这样的库。
答案 0 :(得分:2)
是的,没问题,强烈推荐。 HTTP 基本身份验证的问题之一是您依赖于您的凭据,您需要放入标头,最好获取 JWT 令牌(bearer,refresh) 并将其用作不记名和刷新令牌,并使用适当的过期、刷新策略。