REST авторизация, будет ли работать такой способ?

Question

[beshot]

Доброго дня!
Рассматривается способ авторизации REST запросов, идея следующая:
пользователь используя свои учетные данные логинится в приложение и получает токен для доступа к рест сервису. Выдает токены сам сервис. Весь обмен по обычному http. Токен кладется в БД и содержит expiration time. После этого токен шифруется прежде чем отдать пользователю. Только рест сервис знает как расшифровывать этот токен. После того как токен приходит на рест сервис он его расшифровывает и определяет все необходимые данные для аутентификации рест клиента. Насколько это безопасно и удобно?

Answer 1

[Никита Гущин]

Вы пытаетесь заново изобрести JWT?

Comments

[beshot]

Не знал такого, еще не вполне разобрался, но похоже это то, что нужно. Благодарю.

[Никита Гущин]

beshot: если кратко: сервер генерирует токен (ваши данные + когда истекает) и подписывает его. Самое банальное - поместить в данные userId и когда на сервер придет запрос с токеном - можно сразу проверить его валидность и если все ок - достать из БД пользователя, например

[beshot]

уточню:
в предлагаемом решении участвую только две стороны: клиент и сервер, и вопрос - зачем подписывать токен? Будет не достаточно его просто зашифровать?

[Никита Гущин]

beshot: я думаю, для таких целей нет особой разницы.

Answer 2

[beshot]

Благодарю и буду признателен за любые замечания по безопасности такого решения.