1.API接口设计规范
2.安全性设计
a.白名单限制
仅接受特定系统的请求响应,调用方的IP地址需要在本系统中报备,否则无法调用
b.合法身份合法性验证
Basic Authentication :这种方式是直接将用户名和密码放到Header中,使用 Authorization: Basic Zm9vOmJhcg== ,使用最简单但是最不安全。
TOKEN认证:这种方式也是再HTTP头中,使用 Authorization: Bearer ,使用最广泛的TOKEN是JWT,通过签名过的TOKEN。
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
类似JWT,只是用户登录成功后将token信息是保存在redis中,可以设置token有效期,或主动将token失效等,并返回给用户。
其他认证接口时必须在header中输入token信息,并验证。
@Aspect
@Component
public class SecurityAspect {
@Resource(name = "redisTokenManager")
private Tok