как обезопасить остальные api с ключами api без пружинной защиты

Question

У меня есть API для отдыха MyRestApi.war, который представляет собой проект Spring Boot и Spring MVC.

Есть еще один веб-проект A.war, который является нормальным весенним проектом. Его интерфейс, такой как javascript, и сервер, такой как java code, нуждаются позвонить MyRestApi. Пользователь должен войти в систему A.war, чтобы использовать его.

Мне не нужно выполнять управление разрешениями для MyRestApi, только пользователи, входящие в A.war, могут получить доступ к MyRestApi через интерфейс и бэкэнд A.war

Есть несколько решений, например, API key, jwt, OAuth.

Я хочу попробовать эти три подхода, а затем выбрать один.

Но когда я ищу что-то вроде api key authentication, все они используют spring security для этого.

Так как я могу защитить MyRestApi ключом API без пружинной защиты.

Answer 1

Вы можете написать свой собственный фильтр, если не хотите использовать Spring Security.Этот фильтр будет принимать все URL-адреса.В этом фильтре вы можете проверить ключ API в заголовках и проверить.Если он действителен, пусть цепочка продолжается, иначе выдает какую-то значимую ошибку пользователю / приложению.