Microservizi: JWT e Spring Boot

0

Sto sviluppando un'infrastruttura di back-end basata su microservizi. Sto usando il framework Springboot.

Per quanto riguarda le fasi di autenticazione e autorizzazione, utilizzerei Oauth2 + JWT. Ciò è dovuto principalmente al fatto che disporrai di microservizi diversi che implementano l'API di riposo e inoltre alcune API verranno utilizzate dall'app mobile. Allora probabilmente lascerò che gli utenti si registrino utilizzando il loro account google / facebook.

Ci sono altri modi per raggiungere questi obiettivi? Questa è una buona soluzione o può essere definita sicura?

Dovrò anche gestire il problema di archiviazione JWT.

  • I cookie espongono agli attacchi CSRF (ma se ho capito bene possono essere mitigati usando lo schema del portatore).
  • localStorage / sessionStorage espone agli attacchi XSS
posta Davide 01.08.2018 - 17:13
fonte

0 risposte

Leggi altre domande sui tag