Что использовать для авторизации/аутентификации пользователя на бекенде?
Пишу бекенд на java. Само приложение на kotlin.
Допустим я через POST получаю логин и пароль. Дальше нахожу в базе совпадение и мне надо выдать человеку токен авторизации/аутентификации. Как сгенерировать этот токен? Может есть какие-то библиотеки или использовать что-то встроенное в jvm?
И правильно ли я всё думаю и делаю?
Пишу сервлетами в Tomcat.
Ну то есть с javax.servlet и тому подобное.
Я лет 15 не писал под Томкат, но помню что ничего такого не генерировал, Томкат сам создает session id и отслеживает его либо через URL, либо через куки. Достаточно было довольно простой класс для авторизации написать строк 10, как раз как у тебя чтобы в базе проверить. И то для авторизации по имени и паролю был уже готовый класс, мне же пришлось дописывать авторизацию по сертификату, тогда его не было
LoliDeveloper, он и не отправляется каждый раз. читайте что такое сессия, она авторизованная или нет, и у нее есть время неактивности. id сессии генерируется автоматически и он достаточно сложный и по сути и есть нужный вам токен. Суть вопроса в том что недостаточно сложен? Это уже другой вопрос и я на него не смогу ответить
tormozillo, Это ненадёжный вариант. При больших нагрузках томкат не справится с кучей сессий для каждого клиента. Мне нужно что-то масштабируемое, поэтому только jwt.
Добрый день!
Почему бы вам не использовать Spring Boot + Spring Security? И добавить туда библиотеку, которую сами же указали - jjwt. Будет намного быстрее и проще. Но можно и без Spring'a обойтись.
Спасибо за ответ.
Да, мне уже в комментариях сказали про Spring Security, просто хотелось помучаться и всё руками сделать. Да и у меня это 3 строчки заняло, поэтому не так уж и быстрее.
Простой
