Se stai sviluppando un'API RESTful (e chi no), devi utilizzare i token per autorizzare l'utente. Naturalmente, puoi crittografare la password dell'utente sul client e trasferirla ogni volta sul server, su ciascuna delle sue risorse protette, ma c'è un'alta probabilità che il tuo traffico venga intercettato e l'algoritmo di crittografia venga violato. E semplicemente non è conveniente autorizzare ciascuna risorsa API REST. Questo può essere utilizzato se hai letteralmente un paio di API e non vuoi potenziare l'intero sistema. Ovviamente puoi anche utilizzare il server di ammortamento di qualcun altro, ad esempio Google o Okta - fornisce Authorization as a Service. Oppure solleva Keycloak. Oppure puoi utilizzare Spring Security, che si collega facilmente e semplicemente a Spring Boot. Ma per fare ciò è necessario comprendere il ciclo di vita dell'applicazione SPring e come funziona il filtro richieste. Se questo argomento ti interessa e desideri approfondire questo argomento, ovvero come implementare completamente l'autorizzazione e l'autenticazione sull'API REST, dividendo per ruoli (RBAC - Role Based Action Control) e salvando i dati nel Database, e non solo nella memoria o nel testo, come in tante lezioni di Hello World, allora ti invito ad immergerti con me in una sessione di Livecoding, dove implementeremo tutto questo. Link: https://youtu.be/m5FAo5Oa6ag
GO TO FULL VERSION