在之前的一篇文章中,我曾询问 SO 社区什么是保护我的 Servlet 的最佳方式,这样用户就不能简单地从 src 中提取我的 url 并将其用作各种免费的 api:
我被指示查看 OAuth 1.0,因为它稳定且支持良好。
再想一想,如果我使用 JSP 代替 OAuth 和 jquery ajax 会怎样?
我仍然可以将所有主要的硬编码文件放在我的 Varnish 服务器上,而那些需要动态内容的文件将是 JSP 文件,它们为它们的数据调用 Servlet,因此不会暴露任何 Servlet 地址。
问题:这个 JSP 模型在生产环境中是否可以接受?还是最好的情况是使用 jquery ajax 和 oauth?这两种不同场景之间的速度差异是否很大?
在上一个问题中。我不知道 OAuth 是严格的答案(尽管它可能会被使用)。OAuth 实际上更倾向于允许通过第三方身份验证和授权使用您的服务。在你的情况下,我不知道那个第三方会是谁。
听起来您可能想要的是身份验证令牌的概念。因此,在客户端调用您的服务之前,他们需要调用您的一项服务以获取身份验证令牌。然后,针对您的 servlet 的所有请求也需要传递此身份验证令牌,并在您发出响应之前验证该令牌是否处于活动状态。
您提到您的 servlet 是无状态的(这当然适用于许多 API),但我想知道客户端应用程序作为一个整体是否具有状态,以便它可以通过某些事件(例如客户端应用程序登录)获取这样的令牌并且是能够存储用于针对 servlet 的每个请求发送的令牌,以及能够将刷新的令牌作为接近到期的令牌进行处理。