0
안녕하세요 저는 봄과 봄에 새로운 보안입니다. 현재 저는 봄에 나머지 API를 사용하고 있습니다. 봄마다 휴식 API를 제공합니다. 나머지 api는 상태가 없으므로 api를 종료하는 세션을 만들 수 없습니다. 우리가 그렇게한다면 무국적이기 때문에 나머지 디자인에 반대합니다. 그래서 내 질문은 할 수있다 우리는 휴식에 서버 쪽에서 사용자의 상태를 결코 유지하지 않습니까?우리는 클라이언트 측 그것을 유지할 수 있습니까 ?? 방법?? 스프링 기본 보안에 로그인하여 현재 사용자에게 원칙을 적용합니다. 스프링리스 인증의 경우. 그래서 휴식 API의 경우는 모두 현재 로그인 한 사용자입니까?. spring rest API가 stateless이면 스프링 보안이 현재 로그인 한 사용자를 유지하는 방법. 나는 토큰 기반 인증을 사용하는 스프링에 대해 약간의 블록을 읽었다. 여기서 사용자 명과 패스워드를 보낼 수있다. 요청할 때마다 토큰을 보내고 현재 요청을 보내는 사용자를 알 수있다. 토큰은 쿠키에 저장됩니다. 따라서 쿠키는 클라이언트 측에 저장됩니다. 이 경우 브라우저가 쿠키를 비활성화하면 로그인 한 사용자와 현재 사용자를 어떻게 인증 할 수 있습니까?스프링 레스트 API 및 스프링 기본 보안
: 꽤 이론적 방금 통해 각 요청에 사용자 자격 증명 및 암호를 제공, 더 로그에 없다 'Authorization' 헤더. Spring 보안에서는'basicAuth()'지시자를 추가하여이 헤더의 사용 가능성에 대한 요청을 검사 할 수 있고 또한 그 값이 base64 값을 디코딩 할'Basic $ {base64enc (username : password)} '와 일치한다는 것을 지시 할 수있다. 사용자 세부 정보 서비스에서 사용자를 조회하고 액세스 할 수있는 보안 컨텍스트에 추가하기 위해 자격 증명을 분할하십시오. –
그렇다면 스프링 보안이 모든 경우에 사용하기 위해 작동합니까? –
은 필요에 따라 다릅니다. 이론적으로 나는 보통 사용자 지정 UserDetailsService와 AuthenticationProvider를 제공하는 경향이 있지만 실제 UserDetails 개체를 도메인 별 속성 및 설정으로 풍부하게 만드는 경향이 있습니다. –