我正在创建一个简单的会议应用程序(基于 Java)并使用 RESTFull Web 服务来公开功能。
我想实施一些授权。工作流程应该是这样的:
1) 应用程序收到一个包含用户名/密码的 xml 请求。
2) 作为响应,应用程序应提供一些密钥(用于授权进一步请求)
3) 现在对于该用户的每个传入请求,该密钥应该在 xml 请求中可用,以便应用程序可以授权用户。
请建议我应该如何实现这一点以及最好的方法是什么。
我正在寻找一些授权框架并遇到了 OAuth。请提出建议。
提前致谢...期待您的反馈
【问题讨论】:
标签: java security jakarta-ee authorization oauth-2.0
应用程序密钥.. 每次应用程序服务器都会将分配的密钥发送到 xml 中的 web 服务,这将在与应用程序服务器映射的数据库中的 web 服务过滤器级别进行检查.. 即每个应用程序服务器将有单独的 pre分配密钥以与 Web 服务通信。
如果您希望在用户级别使用此密钥,那么当应用程序向服务发送用户登录请求时,将使用 username+password+currentTimeStamp 生成动态编码密钥并将其保存在 db 中以供当前使用session 如果凭据正确(成功登录),则此密钥将在登录请求对用户的响应中返回。并且在当前会话的每个客户端请求中都将传递相同的密钥,因为会话将过期(在默认注销时间或发生手动注销之后)密钥将在数据库中被停用。该过程将为每个用户及其每个登录会话执行。
【讨论】:
Oracle 提供了一个很好的教程,如何使用 REST 和 oAuth 确保安全。请找到链接 Securing REST Web Services With OAuth
希望这会对你有所帮助。
【讨论】: