我正在尝试保护仅需要用户输入有效OTP(我已经验证过)的Spring Boot REST api,使用会话/ cookie / JWT来实现此目标没有问题,但是我需要使用最简单的实现Spring Boot支持该功能,以便为用户提供令牌或以某种方式了解他,以便他可以访问受保护的REST API。
我可以创建Jwt并将其发送给用户,但是通过制作过滤器并在每个受保护的API上使用它来对每个API进行身份验证似乎太多了
(与使用this reference之类的东西相比),我们可以看到Spring安全性已经为API提供了简单且全局的保护,但依赖于使用用户名和密码的身份验证。
我不想像安全性那样重新创建轮子,我相信最好使用标准库来避免任何问题。
上述情况下的最佳实践是什么,因为我被看到的不同方法所淹没,我不知道什么是最好的?
1-是否在中心位置验证Jwts以保护API?
2-为用户创建会话(不使用Redis或DB),但仅将其保留在Application Server中吗?
感谢您的帮助。