Rest API secure

0

Cześć.

Tworzę w springu aplikację restową i przyszedł moment na autoryzację i teraz nie mam pomysłu jak to wykonać.
Aplikacja ma opierać sie o spring boot + embedded tomcat + angularjs
1) myślałem o http basic + https, ale to korzysta z httpSession wieć niezbyt stateless
2) digest auth, ale jak zrozumiałem dane w bazie muszę trzymać jako plain text? więc odpada
3) oaut2? jeszcze jakoś się w to nie wgryzłem, rozumiem że oddzielny serwer który przydziela tokena?
4) coś innego?

Mógłbym prosić o jakieś wskazówki i ewentualne rady na co mam szczególnie zwrócić uwagę.
Aplikacja to ma być taki POC, coś to pokazania na rozmowie kwalifikacyjnej itp to może nie warto się bawić w jakieś wodotryski i http basic?

a i rejestracja w app to po prostu po https i nic więcej?

Dzięki ;)

0

1) prosto i przyjemnie....statelessa po co CI to?

0

I rozumiem że SSL załatwi mi wszystko? A stateless bo niby rest powinien być statelessowy ...
Hasło na bazce jakimś bcryptem.
A w takim projekcie na rozmowe kwalifikacyjną bawić się http session i redisem?

Dzięki szczery za odpowiedź.

0

też się zastanawiam w jaki sposób zrobić autoryzacje po RESTcie żeby było przyjemnie i prosto
jeśli ktoś ma doświadczenie w tym to chętnie się dowiem czegoś czego nie wiem :)

0

Basic authentication po SSL

0

Basic + SSL jako podstawa. Następnie można bawić się jeszcze z:

  1. dodatkowe nagłówki z tokenami
  2. podpis cyfrowy żądania (stosunkowo skomplikowane jak na REST).
  3. separacja na poziomie infrastruktury (jeden punkt wejścia, który wewnątrz zawiera pełen routing).

@azalut, pamiętam o tobie.

0

Aj pomyliło mi się, raz jeszcze.
Co będzie lepsze:
http basic czy form auth z cookiesem + jsessionID.

0

A co chcesz uzyskać? Jak kompletnie bezstanowy REST to base +ssl + rozszerzenia. Jeżeli jednak robisz normalną apkę to łatwiej jest na początku ogarnąć wersję z ciastkiem, bo transmisją tego czegoś zajmuje się przeglądarka.

0

Aplikacją ma być sklep i będę korzystał z sesji dla koszyka tylko myślę tę sesję podlinkować po jakąś BD.
Z chęcią zrobiłbym to z ciastkami i zajął się bebechami, np na blogu springa jest cykl kilku wpisów o tematyce właśnie rest + angular i piszą że do sporej ilości sytuacji jest to ok i nie ma po co komplikować.Tylko że nie posiadam punktu odniesienia. Nie mam doświadczenia i chciałbym uzyskać odpowiedź czy takie rozwiązanie zostanie potem dobrze przyjęte w przypadku właśnie takiego projektu w stylu POC. W skrócie co być powiedział gdyby z czymś takim przypałętał się do Ciebie junior ;)

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0