0

我正在为需要用户身份验证的应用程序设计 rest api。身份验证基于用户名/密码,登录后,服务器返回一个 access_token 以放入所有未来请求的 http 标头中。

对于每个请求,我创建了一个过滤器来检查 http 标头中的 access_token 参数: - 如果存在,我必须检查参数是否与系统创建的相同 - 如果不存在,过滤器将返回 401 Unauthorized。

RESTful ws 是无状态的,所以我想了解有关 access_token 管理的最佳实践。我正在考虑将 access_token 存储在数据库中,但登录后的请求数量可能很大,所以我认为每个请求对数据库的查询过于昂贵。

您建议采用哪种方法?谢谢你。

4

1 回答 1

0

在我的应用程序中,我使用数据库来存储 access_token,因为我没有看到任何其他方式。您还可以查看spring-security-oauth数据库模式

于 2013-03-13T10:14:19.130 回答