Web服务用户身份验证和会话管理的最佳实践

Question

3

根据标题，我想知道Web服务用户认证和会话管理的最佳实践，主要是针对后端实现，特别是使用Java(J2EE)的情况下。

有没有人在这个主题上发表过文章呢？在处理用户认证时应该注意哪些安全考虑因素？有哪些与之相关的设计模式？应该如何管理会话？一个良好设计的架构是什么样子？

是否存在一些可用作良好或甚至不良示例的现有系统？

- Shaggy Frog

你的问题是否涉及通过HTTP Web服务进行SOAP？ - home

@home 不使用 RESTful 服务交换 JSON 数据。 - Shaggy Frog

2个回答

0

虽然不是特别针对REST，但我们使用相同的身份验证机制来处理标准Web服务和任何其他Web容器请求。这意味着将基本身份验证数据发送到后端，通过SSL进行传输。我们从未遇到过任何问题。

- Robert

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- kyiu · Accepted Answer

由于Java EE规范的Web服务实际上是将无状态会话Bean公开为Web服务，因此您将无法实现会话管理，除非采用“自制”解决方案，例如在每个请求中包含用户令牌。