我正在使用 Spring MVC 和 Security 为一组应用程序构建一组 REST API,我们有两个移动应用程序和一个 Web 应用程序(Web 应用程序是 HTML5 单页应用程序,因此它几乎是独立的)。
我的问题是:哪种身份验证方案最适合此类问题?
我的想法是:
- 使用 form-login 通过 HTTP POST 登录 url 进行登录
- 使用 RememberMe 服务在一段时间内(月或年)维持 session - 这主要适用于移动应用,您希望用户仅登录一次。
我对上述解决方案感到 100% 不舒服,因为: 在 REST API 中使用 cookie 对我来说感觉很尴尬
有什么建议吗?
谢谢!
亚历克斯
最佳答案
如果您使用 REST,为什么还需要 cookie(或表单登录)? REST 应该以编程方式访问,因此消费应用程序每次传递 HTTP BASIC/DIGEST header 都不会出现问题
关于java - 哪种 Spring 安全身份验证方案适合移动和 Web 应用程序的 REST API?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8834145/