私は現在、Springブートを使用してREST APIを構築しています。現在、APIはJavaFXアプリケーションにJSONデータを配信していますが、将来はAngularアプリでAPIにアクセスする可能性があります。おそらく、ユーザーが新しいユーザーを作成することは不可能であり、その責任はsysadminにあります。私は、このタイプのAPIでの認証について不思議です。デスクトップアプリケーションと共に使用するRest APIをセキュリティで保護する
一般的な考え方は、ユーザーがシステムからのすべてのデータにアクセスできるようにするための認可レベルは1つだけであるということです。私はこの認可をどのように実装すべきか疑問に思っています。 (春のセキュリティ、OAuthなど)私が調べたソリューションのほとんどは、クライアント側のアプリケーションがブラウザで実行されないため動作しないようです。
現在のところ、すべてのリクエストでクライアント側からユーザーの詳細を渡し、データベースに表示されているパスワードのハッシュと照合しています。
だから私の質問、私はブラウザで実行されることはありませんアプリケーションをどのように確保され、そのようにクッキーにアクセスすることはできません、HTTPセッションなど
"...クライアント側のアプリケーションはブラウザで実行されないため、動作しないようです。" - なぜあなたはこれをどう思いますか? OAuthまたはこれらのいずれかを完全なアプリケーションで使用できます。クライアント側を実装するだけです。すべてのクライアントはCookieなどにアクセスできます。単純な暗号化されたCookieメカニズムまたはOAuthがニーズに合っています。 – Kylar
Spring Securityは、Web以外のアプリケーションまたはブラウザ以外のアプリケーションで動作します。 –