我有一个通过SSL的REST服务器。最初,客户端使用凭据登录。为了避免为每个请求发送用户名/密码,我创建了一个自定义令牌,在登录过程中返回给用户。此令牌包含有关客户端(IP和用户代理(的一些信息以及过期时间;当然,令牌是加密发送的。
进一步的调用包括自定义标头字段中的令牌;在IDispatchMessageInspector中验证
这种方法效果很好,但我确信这不是一个好方法。使用自定义身份验证比消息检查有什么好处吗?
消息检查是在消息接收后和发送前对消息进行检查、更改和替换。
自定义身份验证需要对用户名和密码进行身份验证,这更适合登录或其他需要用户名和密码的情况。
这两种类型的验证都有各自的应用。正如您所说,避免每次发送用户名和密码时都可以选择消息检查。私人词语也往往是信息检查。