0
我們的項目由Java後端(spring web應用程序)以及iOS和Android客戶端應用程序組成。現在我們需要將客戶端應用程序的身份驗證添加到Java後端。這個想法是首次使用外部Web服務註冊用戶。在這一步用戶提供完整的憑證(登錄和「大」密碼),並選擇一些PIN進一步授權。在主要步驟成功完成後,用戶應該能夠使用他的登錄名和PIN(他之前選擇他自己)進行身份驗證。這些登錄和密碼應該存儲在我們的數據庫中。只要有必要,我們也應該能夠銷燬該「會話」和PIN。我們預計網絡應用程序最多可擁有10 000名註冊用戶,最多可有1000名用戶同時在線。Spring REST服務,註冊用戶,認證
我們也不打算使用任何單獨的認證服務器,我們計劃將安全性嵌入到Web應用程序(後端)本身。
我一直在調查2種不同的方法。首先是通常的Spring @EnableWebSecurity方法。這看起來很簡單,但有些人說它會創建「會話」,這對服務器來說是不好的。會話將消耗大量內存,並且對性能的整體影響將會很糟糕。這是真的嗎?
另一種方法是使用Spring Oauth2實現。我沒有時間適當地研究它,這對我來說似乎有點矯枉過正。研究我們的需求是否值得? (我們沒有時間btw)。
我還需要有一些適合安全需求的數據庫結構。
所以問題是,我們的情況最好的辦法是什麼?有沒有開源項目,解決類似的問題?我將不勝感激任何幫助。
謝謝。
至少提供了一個理由下來投票,這樣我就可以改善我的答案 –