0
我正在为需要用户身份验证的应用程序设计rest api。 身份验证基于用户名/密码,并且在登录后,服务器返回一个access_token,将其放入未来所有请求的http标头中。SpringMVC REST access_token和会话
对于每个请求,我已经创建了检查的access_token PARAMS在HTTP头中的过滤器: - 如果存在的话,我来检查是否params为由系统 创建的相同 - 如果不存在过滤器返回401未经授权。
REST风格的WS是无状态的,所以我想知道关于access_token管理的最佳实践。我正在考虑将access_token存储在数据库中,但登录后的请求数量可能很大,所以我认为对于每个请求来说,查询数据库过于昂贵。
您建议采用哪种方法? 谢谢。