我有一个Spring Boot Web服务(后端(。它还有一些简单的网页来与用户(旧的前端(交互。并实现了单点登录(SSO(。一切都很顺利。
现在网页还不够好。Web服务应该保留REST,但新的Angular SPA(单页Web应用程序(将提供与用户(新的前端(更好的交互。
现在的问题是如何处理SSO?如果新的SPA即将到来,字体和后端将被分离。
我可以想象其中的一个,但我不知道什么是最好的。
-
将SPA中的SSO身份验证重定向到Web服务。SPA仅在auth正常的情况下从Web服务获取会话令牌。
-
在SPA中处理SSO并将其从Web服务中删除。对我来说似乎不对,但我知道什么。
-
在SPA和Web服务中处理它。我希望Web服务的身份验证会自动跳过,因为它是SSO。
正常情况下该怎么做?谢谢你的建议。
首先,让我们定义分离在这里的含义。如果这意味着两者的主机名不同,例如,frontend.example.com和backend.exexample.com,那么您可以在SPA中处理SSO,并通过为每个请求附加访问令牌来调用后端API,后端将验证每个请求的访问令牌。