【发布时间】:2015-11-11 03:13:39
【问题描述】:
我正在开发面向公众的 Web 服务。身份验证由第三方完成,我们无法控制它。当用户来到我的页面时,我可以通过将请求发送到第三方 url 来手动触发身份验证过程,第三方 url 反过来会向我发送响应,提示请求是否有效。如果它有效,我可以在 cookie 中设置一些值,以后可以使用这些值来发送用户信息。 要求是公开一项 Web 服务,该服务可以检查请求是否未被篡改以及用户是否经过身份验证。如果已通过身份验证,则请求的用户信息属于询问信息的同一用户。
如果我只使用 cookie 信息,那么它是不安全的,任何人都可以更改它并且可以访问其他用户数据,所以我假设应该有某种令牌身份验证或密钥共享用于加密/解密,但我可以完全错误:)
如果应用程序(服务器/url)被授权访问应用程序。 用户 X 应该只能访问用户 X 数据,而不是用户 Y 数据。
我正在将 Spring Web 服务用于 Web 服务。 我遇到的大多数示例都使用登录表单,考虑到用户填写他的用户 ID/密码,这在我的情况下是不可行的。
我被困在这个时间点。任何指针表示赞赏。 也欢迎任何参考链接。
【问题讨论】:
-
您是否使用 CAS 进行身份验证?看看spring security,如果你用的是CAS,spring security with CAS
标签: java spring rest authentication cookies