我们正在使用Spring Boot开发一些微服务。这些Rest API将由移动应用程序使用。使用Spring Boot框架本身为移动应用程序保护这些API的最佳和推荐方法是什么。我没有为移动应用程序保护API的经验。非常感谢您的建议。
需要考虑这些领域。
谢谢
我建议使用现成的身份管理解决方案(例如开源Keycloak或付费提供商(例如Auth0),而不是自己重新实现安全性。这两个命名选项都有简单的Spring Security适配器。
典型的方法是将OAuth2与PKCE(https://www.oauth.com/oauth2-servers/pkce/)扩展的授权码授予流程一起使用。