我目前正在使用Spring引导构建REST API。目前该API将向JavaFX应用程序传递JSON数据,未来该API可能会被Angular应用程序访问。它可能还值得注意的是,用户不可能创建新用户,这个责任将与系统管理员一起完成。我想知道这种类型的API中的身份验证。保护休息API以与桌面应用程序结合使用
总体思路是只有一级授权,这将使用户能够访问系统中的所有数据。我想知道我应该如何实施这个授权。我研究过的大多数解决方案(Spring安全性,OAuth等)似乎都不起作用,因为客户端应用程序不会在浏览器中运行。
目前,我从每个请求的客户端传递用户详细信息,并根据数据库中显示的密码散列来检查它们。
所以我的问题是,如何保证我不会在浏览器中运行,因此不必访问饼干应用程序,HTTP会话等
“...好像它们不起作用,因为客户端应用程序不会在浏览器中运行。” - 你为什么这么想? OAuth或其中的任何一个都可以用于完整的应用程序。你只需要实现客户端。任何客户都可以访问Cookie等。简单的加密cookie机制或OAuth将满足您的需求。 – Kylar
Spring Security可与非Web或非浏览器应用程序一起使用 –