如何保护 JSF 应用程序客户端和服务器端 REST API 模块

Question

我正在尝试找到一种解决方案来在我的应用程序中实现身份验证和授权，该应用程序通过 REST API 公开服务并且目前有一个 Web 应用程序客户端：

| Web 应用程序客户端 | -> JSF / Primefaces

| REST API | -> JAX-RS / 泽西岛

|业务逻辑和持久化 API | -> EJB / JPA

|数据库 | -> MySQL


REST API 公开了几个服务，其中还有一个登录服务。我正在考虑通过在每个客户端请求上根据我的身份验证机制（也在上面提到的登录服务后面使用）读取和检查用户的凭据来保留 REST 无状态约束。

在 Web 应用程序方面，我可能会检查受保护的资源访问（阻止 URI 访问、启用/禁用 GUI 按钮），使用我在 REST 登录调用后作为响应获得的用户和相关角色信息，并将这些信息保存在HTTP 会话。

现在，当在 Web 应用程序级别检查并验证某些用户的操作已被授予时，将再次在 REST API 级别执行第二次检查。

您认为这种方法正确吗？ 我试图了解是否可以避免对两层的授权进行双重检查。

此外，我正在评估在我的一层或两层中引入 Spring Security，我可以利用它吗？

提前致谢，祝你有美好的一天！

Answer 1

我认为您可以采取两种方法来保护您的应用程序（身份验证方面）：

1. 将http升级为https，客户端发送请求时可以查看证书。
2. 使用基本或摘要身份验证（更好的摘要，如果您想足够安全）来验证登录过程，并将唯一令牌返回给客户端。在每个请求到达时验证令牌。

您不必检查每个请求的用户凭据，只需检查令牌即可。