通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种:. JWT是 Json Web Token 的缩写。签名的过程是这样的:采用header中声明的算法,接受三个参数:base64编码的header、base64编码的payload和秘钥进行运算。JWT本身没啥难度,但安全整体是一个比较复杂的事情,JWT只不过提供了一种基于token的请求验证机制。所以我们这里要利用Spring的一个子项目Spring Security来简化我们的工作。Spring Security是一个基于Spring的通用安全框架,里面内容太多了,本文的主要目的也不是展开讲这个框架,而是如何利用Spring Security和JWT一起来完成API保护。

Spring Boot(四)之使用JWT和Spring Security保护REST API

Spring Boot(四)之使用JWT和Spring Security保护REST API

Spring Boot(四)之使用JWT和Spring Security保护REST API