Что использовать для авторизации/аутентификации пользователя на бекенде?

Question

[LoliDeveloper]

Пишу бекенд на java. Само приложение на kotlin.
Допустим я через POST получаю логин и пароль. Дальше нахожу в базе совпадение и мне надо выдать человеку токен авторизации/аутентификации. Как сгенерировать этот токен? Может есть какие-то библиотеки или использовать что-то встроенное в jvm?
И правильно ли я всё думаю и делаю?
Пишу сервлетами в Tomcat.
Ну то есть с javax.servlet и тому подобное.

Comments

[Артем]

Есть некоторый стандарт JWT, на основе которого в основном и генерируется токен доступа, читайте о нем

[Сергей Горностаев]

Зависит от того, как именно пишете. В Spring например есть Spring Security, в котором всё готово из коробки и делать особо ничего не надо.

[LoliDeveloper]

Сергей Горностаев, пишу сервлетами в Tomcat.
Ну то есть с javax.servlet и тому подобное.

Answer 1

[LoliDeveloper]

Ребята сделали отличную библиотеку для Java с кучей документации https://github.com/jwtk/jjwt

Answer 2

[tormozillo]

Я лет 15 не писал под Томкат, но помню что ничего такого не генерировал, Томкат сам создает session id и отслеживает его либо через URL, либо через куки. Достаточно было довольно простой класс для авторизации написать строк 10, как раз как у тебя чтобы в базе проверить. И то для авторизации по имени и паролю был уже готовый класс, мне же пришлось дописывать авторизацию по сертификату, тогда его не было

Comments

[LoliDeveloper]

Постоянно отправлять логин-пароль для каждого доступа к инфе это что-то из 12 века. Я и спрашиваю как генерить этот токен. Читайте вопрос.

[tormozillo]

LoliDeveloper, он и не отправляется каждый раз. читайте что такое сессия, она авторизованная или нет, и у нее есть время неактивности. id сессии генерируется автоматически и он достаточно сложный и по сути и есть нужный вам токен. Суть вопроса в том что недостаточно сложен? Это уже другой вопрос и я на него не смогу ответить

[LoliDeveloper]

tormozillo, Это ненадёжный вариант. При больших нагрузках томкат не справится с кучей сессий для каждого клиента. Мне нужно что-то масштабируемое, поэтому только jwt.

Answer 3

[Орхан Гасанлы]

Добрый день!
Почему бы вам не использовать Spring Boot + Spring Security? И добавить туда библиотеку, которую сами же указали - jjwt. Будет намного быстрее и проще. Но можно и без Spring'a обойтись.

Comments

[LoliDeveloper]

Спасибо за ответ.
Да, мне уже в комментариях сказали про Spring Security, просто хотелось помучаться и всё руками сделать. Да и у меня это 3 строчки заняло, поэтому не так уж и быстрее.