1

我在服务器端和客户端的不同应用服务器中有单独的 WAR。与服务器端的 UI 交互是通过 REST API。

现在的问题是 REST 服务托管在 8080 端口上,我看到如果我只提供 URL,我可以看到结果 XML。现在这很危险。除了来自客户端 WAR 的请求之外,我不希望任何人实际看到结果。客户端身份验证和授权在那里,但我如何将其传播到服务器端 WAR。为了解释工作流程,让我举一个示例用例: 1. 用户请求他需要查看他的所有订单。现在,在 post 请求中发送的用户 ID 和相应的 REST API 被调用,它返回该用户 ID 的所有订单。现在我担心的是,任何知道该 URL 的人实际上都可以获得任何用户的所有订单列表。我如何停止这个未经授权和可能未经身份验证的请求?在部署在不同容器中的客户端和服务器端的两个不同 WAR 的场景中,我如何最好地集成授权和身份验证。

4

1 回答 1

1

用户登录时生成令牌保存在服务器端以及在cookie中设置在客户端

现在,当任何对服务器令牌 cookie 的请求都自动与该请求一起出现时,您可以在服务器端获取该 cookie,@CookieParam 以便您可以轻松地验证用户是否经过身份验证。

于 2012-06-06T07:17:48.293 回答