Web 应用安全体系结构

您已经浏览了OAuth，JWT令牌等。如果您不想使用它们，那么您可以创建您的own token based authentication system。(说"TokenHandler")。

这个令牌处理程序将如何工作？

TokenHandler 就像一个网关服务器，即您的每个 REST API 请求都将通过此服务器应用程序进行路由。因此，您将通过authToken in header解决您对移动和Web应用程序调用的困惑。此服务器应用程序的主要职责是接受令牌，并根据维护所有令牌详细信息的数据库进行验证。此数据库将包含有关上次使用令牌进行验证时的时间戳的信息，以决定您的验证规则。

代币将如何生成？令牌可以是任何随机的 64 位字母数字字符串，并将在每次登录活动期间在数据库中生成和更新。登录 Web 服务在响应正文中返回此令牌。

什么是验证规则？这可能取决于您的业务逻辑。我更喜欢保持 15 分钟的活动会话窗口。意味着如果您访问网络服务，您将获得 15 分钟以上的活动窗口。如果您连续 15 分钟未访问任何服务，则从第 16 分钟开始，您将需要再次登录才能访问更多呼叫。这部分可以根据要求进行更改。

客户端将如何处理这个问题？客户端将存储此令牌，并在每次请求调用时传递此令牌。令牌处理程序将验证并将其请求重定向到应用程序服务器。因此，一个令牌处理程序可用于多个应用程序服务器的服务器身份验证。这可以通过应用程序端点识别器来实现。

如果您有任何问题或建议，我想进一步讨论。

为您的使用案例使用 API 网关架构模式 - http://microservices.io/patterns/apigateway.html .

API 网关(您问题中的Web 服务器)可以充当所有桌面/移动客户端的单一入口点。您可以使用会话 Cookie 或 jwt 在网关上对客户端进行身份验证。

关于网关和微服务之间以及微服务之间的身份验证，我建议相互 SSL - https://www.codeproject.com/Articles/326574/An-Introduction-to-Mutual-SSL-Authentication。如果您使用的是 Spring boot，这可能会有所帮助 - http://www.opencodez.com/java/implement-2-way-authentication-using-ssl.htm

IP白名单方法的问题在于 - 它不太适合云架构，因为每次服务器重新启动时IP可能会发生变化。即使您使用专用IP，也应小心保护与SSL/TLS的通信，否则攻击者可以轻松嗅探您的流量。