Benutzerdefinierte Authentifizierung ohne Benutzername/Passwort

Question

Ich entwickle eine Web-Anwendung (Back-End: JAVA/statuslose REST-API) (Front-End: Angular), die schließlich in einer anderen Web-Anwendung platziert werden (sagen wir Eltern-App). Die Eltern-App, die sitzungsbasiert ist, behandelt die Authentifizierung mit Benutzername/Passwort und erstellt Token für jeden Benutzer. Sobald ein Benutzer sich in der übergeordneten Anwendung anmelden kann, sollte er auch auf meine Anwendung zugreifen können. Es ist gut zu erwähnen, dass das Token auch verwendet werden kann, um Benutzerdaten durch einen SOAP-Aufruf von meiner Anwendung abzurufen.

Meine Idee ist es, dieses Token mit meiner Frontend-Komponente zu bekommen und es an meine REST API zu senden. Ich werde diese Tokens innerhalb einer gleichzeitigen Hash-Karte aufbewahren und für jeden Anruf, der von FE kommt, überprüfe ich das Token auf BE für die Autorisierung. Ich frage mich, ob es ein richtiger Ansatz ist?

Answer 1

Wenn die Sitzung der Eltern-App abläuft oder sich der Benutzer abmeldet, wird das Token ungültig gemacht?

Wenn ja, wie weiß Ihre App, dass der Token ungültig ist? Ist das der überprüfen Sie das Token auf dem BE? (was für jede Anfrage erledigt werden müsste)

Wenn eine gemeinsame Sitzung keine Option ist, dann ist Ihr Ansatz sinnvoll.

Auch aus Sicherheitsgründen sollten die REST-Aufrufe immer HTTPS sein (die Anforderung ablehnen, falls nicht) und in Erwägung ziehen, das Token in einem Header und nicht in der URL als Abfrageparameter zu übergeben.