为了取得一些成果,我想听听你的意见。我有一个api,我想限制用户的访问。但是短故事很长,在页面/login的实际登录控制器中,我为用户自动生成令牌并返回它。好吧,我的一个问题来了。动作控制器必须返回响应,而我的令牌以json格式发送,并显示在浏览器上,但我不想这样做,我只想保持响应,这样我的角部分就可以得到这个令牌,并以它的方式处理它。所以我的方法登录:
public function loginAction(Request $request)
{
$username= $this->get('security.token_storage')->get
如果它必须被认证,我如何认证它,因为用户还没有在我的网站上注册?
详细信息:我正在尝试为移动设备(Symbian)编写一个客户端,该客户端必须处理在我的网站上注册用户。根据我的经验,到目前为止我所学到的关于REST的知识是所有HTTP请求都必须经过身份验证。但是在注册的情况下,我的后台没有任何用户详细信息。如何处理这种情况?
以下是我在textmate中的粗略设计的一个片段:
- Resource: UsersResource
- URL: /users
- Who can invoke?: ALL
- HTTP METHOD: POST
- Representation:
-- Me
我正在开发一个带有BFF的SPA应用程序,它使用spring云网关配置为具有spring安全性的oauth2客户端和作为授权服务器的keycloak服务器。我做了一个经典的spring安全配置:
@Configuration
@EnableWebFluxSecurity
public class SecurityConfiguration {
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http.authorizeExchange
我一直在寻找如何在REST中处理身份验证,我发现很难理解为什么人们不把身份验证也视为一种资源。当使用名词代替名词化动词时,应该考虑验证
POST /安全会话
从那里我们会被重定向到:
GET /secure-sessions/{id}
所有其他受保护的资源将是:
GET /secure-sessions/{id}/other-resources POST /secure-sessions/{id}/other-resources等
如果我们注销,我们将执行以下操作:
删除/安全会话/{id}
为什么从来没有考虑过这一点?人们仍然可以使用授权头和其他令牌机制。
干杯
扭动