关闭。这个问题是基于意见的。它目前不接受答案。
**想改进这个问题吗?**更新这个问题,这样就可以通过编辑这篇文章用事实和引文来回答。
上个月关门了。
改进这个问题
我有一个公共的springweb应用程序,通过https提供restapi。它目前只使用http基本身份验证。
我被要求实施jwt支持。我想这样做,但要保持简单-避免像oauth这样的东西(从以前的oauth到现在的Spring,oauth是必须的) spring-security-jwt
已弃用)。
据我所知,在没有oauth的情况下使用jwt(https)是安全的。因此,我可以受益于jwt标准,而不需要专用的授权服务器。
这种设置是标准/通用方法吗?
你能提供一个spring环境下的例子吗?
我的想法是使用jjwt&spring security这样的库。
1条答案
按热度按时间pbgvytdp1#
是的,很好,非常推荐。http基本身份验证的一个问题是,您依赖于您的凭据,您需要放入头中,最好获取jwt令牌(承载,刷新)并将其用作承载和刷新令牌,使用适当的过期,刷新策略。