我必须为一个学校项目构建一个应用程序,前面是React Native(移动应用程序Android和iOS),后面是Java/Spring。该应用程序在设计和请求/响应方面几乎完成,但没有安全性!好吧,只有密码加密。。。所以我需要增加一些安全性
目前的问题是,当用户登录时,我会在成功时返回他的ID,并将其存储在移动应用程序存储中。对于服务器上通过GET/POST发出的每个请求,即使用户没有登录,服务器也会向他发送响应。如何以最简单的方式解决此问题?有关于spring安全的会话,但我读到,由于移动设备的行为不像浏览器,所以它不存储cookie。我想生成一个令牌(但我不知道怎么做)并在@Response中屈服。每当用户想要访问资源(即在应用程序中旅行)时,它都会发送令牌。但我觉得这有点复杂。该应用程序是无状态的,只有登录和注册才能被所有人访问,所有其他视图都需要您登录。
谢谢你的建议!
根据您的要求,我将向您建议我在我的react原生应用程序中为维护会话所做的相同事情,我的后端是nodejs,我使用JWT在后端维护会话。
在我的应用程序中,我只能访问两个没有accesstoken的视图,即登录视图和注册,每当你在登录屏幕上发布带有凭据的请求时,请使用react native store(第三方库)在本地存储accesstoken、电子邮件等。登录后,您保存了accesstoken,您可以在任何地方使用它。
一旦你关闭应用程序并重新进入应用程序,然后进行检查,如果你商店的accesstoken密钥不为空,然后直接打开登录后的主页,这样用户就不必每次重新打开应用程序时都登录。
如果用户单击注销按钮,则重定向到登录并从存储中删除accesstoken。
干杯:)