我正在为需要用户身份验证的应用程序设计rest API。身份验证基于用户名/密码,登录后,服务器返回一个access_token,将其放在所有未来请求的http头中。
对于每个请求,我已经创建了一个过滤器来检查http头中的access_token参数:-如果存在,我必须检查params是否与系统创建的相同-如果不存在,过滤器返回401未授权。
RESTful ws是无状态的,所以我想知道关于access_token管理的最佳实践。我想在数据库中存储access_token,但登录后的请求量可能很大,所以我认为每个请求对数据库的查询太昂贵了。你建议用哪种方法?谢谢你。
在我的应用程序中,我使用数据库来存储access_token,因为我没有看到任何其他方法。您还可以查看spring-security-oauth,对于数据库模式