我正在使用Java Spring Boot框架开发一个REST API。此API的目的是连接移动应用程序和web应用程序,以便它们能够一起工作。
我的问题是,开发登录功能或登录过程的最佳实践是什么。我应该生成一个令牌还是应该怎么做?
您可以遵循OWASP中描述的最佳实践。
如今,大多数API都使用基于令牌的安全性。以下是一些指导原则:
- 您需要一个对用户进行身份验证的服务(它本身是公共的)。
- 为了验证用户,它可能会使用用户名和密码,和/或其他方式
- 作为对用户进行身份验证的结果,此服务返回一个授权令牌
- 您的后端应该跟踪已发行的代币
- 每个令牌都有一个到期时间
- 每次客户端使用API时,都应该随令牌一起发送。通常,令牌以HTTP头的形式发送
- API中的每个服务都应该先验证令牌,然后再验证其他内容。如果令牌无效,则应返回适当的HTTP代码
所有通信都应通过SSL发送
OAuth和OAuth2是实现这一目标的两个众所周知的协议。OAuth比OAuth2稍微复杂一些。
这是一个非常高层次的描述,技术上不深入,但它应该让你开始。