以前,我不必在服务器上使用HTTP身份验证。但他们给了我一个任务。
“我们有足够的密码验证。虽然我们决定在客户端(AngularJS)和Web服务器(RESTful,Jersey)之间有足够的身份验证层。”
你能帮忙提出建议或建议文献吗?
REST API资源是无状态的。它需要是安全的。在每次休息呼叫时,必须进行身份验证以确保合适的人员访问这些API。这并不意味着每次通话都会使用username和password。
行业标准身份验证协议有助于减少保护API的工作量。可以使用自定义安全协议,但仅限于非常特定的情况。 This blogs涵盖了OAuth1.a,OAuth2.1等主要的一些。
This链接解释了基于令牌的身份验证,您需要开始保护API的所有内容