我在服务器端和客户端的不同应用服务器中有单独的 WAR。与服务器端的 UI 交互是通过 REST API。
现在的问题是 REST 服务托管在 8080 端口上,我看到如果我只提供 URL,我可以看到结果 XML。现在这很危险。除了来自客户端 WAR 的请求之外,我不希望任何人实际看到结果。客户端身份验证和授权在那里,但我如何将其传播到服务器端 WAR。为了解释工作流程,让我举一个示例用例: 1. 用户请求他需要查看他的所有订单。现在,在 post 请求中发送的用户 ID 和相应的 REST API 被调用,它返回该用户 ID 的所有订单。现在我担心的是,任何知道该 URL 的人实际上都可以获得任何用户的所有订单列表。我如何停止这个未经授权和可能未经身份验证的请求?在部署在不同容器中的客户端和服务器端的两个不同 WAR 的场景中,我如何最好地集成授权和身份验证。