我为一家中型金融公司工作,我们正在努力调整API驱动的架构。我们正在使用JEE容器和像Jersey这样的JAX-RS API从头开始开发API。我会简化并说我们有一个网站,您可以在其中管理您的财务帐户和个人信息。所以为了简单起见,我说有一个API:
sort我有两种可以使用这些服务的潜在用户类型,即客户自己和/或客户服务代表。我想知道是否有人愿意分享有关保护此类服务的最佳方式的见解。您是否拥有相同的服务来为这两类用户提供服务?
特别是如何确保可以将请求的数据返回给请求信息的用户。
我认为如果检查就像“此用户是否有权调用API”一样简单,则RolesAllowed效果很好。如何确保用户1无法看到用户2的数据。有最好的做法吗?别人在做什么?
我碰巧遇到了这个问题,确实解决了我的想法。这在2009年得到了解答,所以我想知道6年后是否还有其他选择。