建议您结合Google登录ID提供程序实施“无状态”身份验证系统。
“使用JWT作为授权的载体,您可以通过简单地检查有效载荷中的到期是否尚未到期以及签名是否有效来无状态地验证用户是否已通过身份验证。” 乔纳坦·尼尔森(Jonatan Nilsson)
关于这个问题的一些很好的资源:
后端是无状态的,并且易于实现。这种设计往往会成为云平台上的一种良好做法,例如,Google Cloud在其新产品中大量使用了这种设计:Cloud Run
为此,您可以直接使用Google登录库,也可以使用ng-gapi在Angular中管理Google登录。
从Google登录中检索的 (id_token)。
您可以为此使用HttpInterceptor。
headers: {
Authorization: Bearer ___JWT ID TOKEN___
}
请参阅MichaelKarén的使用Angular中的Interceptor的十大方法。
请注意,不要将Google JWT Id_token存储在变量中。如果过期,它可能会刷新(由Google登录自动完成),因此,每次在HttpInterceptor中使用它时,都应使用一个新版本。
对于每个请求,此安全过滤器都会JWT ID TOKEN
使用Google图书馆对其进行检索和验证。
NetHttpTransport transport = new NetHttpTransport();
JsonFactory jsonFactory = new GsonFactory();
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
.setAudience(Collections.singletonList(clientId))
.build();
GoogleIdToken idToken = GoogleIdToken.parse(verifier.getJsonFactory(), token);
boolean tokenIsValid = (idToken != null) && verifier.verify(idToken);
if (tokenIsValid) {
GoogleIdToken.Payload payload = idToken.getPayload();
// Get profile information from payload
payload.getEmail())...
...
但是要小心,不要GoogleIdTokenVerifier
为每个请求创建一个factory
模式。此类将检索证书并自动对其进行缓存,以避免对Google服务器的无用请求。
一些资源: Google登录,通过后端服务器进行身份验证