我有一个公共(public) Spring Web 应用程序,通过 HTTPS 提供 REST API。目前它仅使用 HTTP 基本身份验证。
我被要求实现 JWT 支持。我想这样做,但保持简单性 - 避免像 OAuth 这样的东西(这是当前 Spring 中必须有的东西,因为之前的 spring-security-jwt is deprecated )。
据我了解,在没有 OAuth 的情况下使用 JWT(在 HTTPS 中)是安全的。因此我可以从 JWT 标准中受益,而不需要专用的授权服务器。
- 此设置是标准/通用方法吗?
- 能否提供一下 Spring 环境下的示例?
我的想法是使用像 jjwt 这样的库&Spring 安全。
最佳答案
是的,没关系,强烈推荐。 HTTP基本身份验证的问题之一是您依赖于您的凭据,您需要放入 header 中,最好获取 JWT token (承载、刷新)并将其用作承载和刷新 token ,并具有适当的过期、刷新策略。
关于java - 在没有 OAuth 的情况下使用 JWT 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66709317/