Buongiono a tutti,
Sto sviluppando un web service in java, che permette di prelevare dal DB varie informazioni.
Alcune API private dovranno prelevare informazioni sensibili che non tutti gli utenti saranno autorizzati a ottenere.
L'obbiettivo è rendere questo WS REST stateless, implementando un sistema di autenticazione senza l'utilizzo di sessioni (sempre se non è necessario).
La soluzione più comune sembra quella d' implementare un sistema di token nel seguente modo: inizialmente l'utente richiede l'accesso mediante User e Password cosi da ottenere 2 token (rispettivamente accessToken e secureToken) da settare in ogni richiesta.
Se quando detto sopra è corretto la domanda che mi pongo è:
-Essendo stateless non devo memorizzare se un utente è autenticato o meno; se non utilizzo sessioni, e non posso dare accessToken esecureToken persistenti,come faccio a tener traccia di questo accesso e quindi permettere l'utilizzo delle API private?
Grazie mille in anticipo e scusate se magari non ho proprio azzeccato il punto....
Rispondi quotando
