[转 Java 新人]请问， REST API 用什么方案做接口权限控制比较合适

上手项目基于 spring boot 2.4 开发

jorneyr

2021-01-22 09:10:25 +08:00

我个人比较喜欢 Spring Security 。

yisheyuanzhang

2021-01-22 09:19:34 +08:00

单体项目 spring security 直接用 session 就行了。分布式 /微服务用 spring security oauth2.0
写过一个单体的 demo https://gitee.com/zhaoydo/uaa-demo

totoro52

2021-01-22 09:24:24 +08:00

小项目 shiro 够用如果想要使用 spring 家族的就上 security 不过 shiro 的学习成本很低，一天就可以上手，security 很重，涉及的执行流程很多，小白慎入，光配置就很复杂。

totoro52

2021-01-22 09:24:53 +08:00

还有 shiro 整合到 spring 会有一些坑，需要留意

threeEggs123

2021-01-22 09:29:53 +08:00

前面加一层网关，在网关上面做。我们用的是 aws gateway

Jrue0011

2021-01-22 09:31:21 +08:00

我也偏向 Spring Security，主要是和 Spring 集成比较好。。。

totoro52

2021-01-22 09:33:34 +08:00

@Jrue0011 是的当初项目采用他就是因为好集成不过最强大的还是他的 oauth2 如果只做简单的授权我还是推荐 shiro 虽然我讨厌的 shiro 的配置没有 security 来的优雅

ccppgo

2021-01-22 09:39:10 +08:00

@yisheyuanzhang 老哥你能把开源许可证加上吗

wozhizui

2021-01-22 10:00:03 +08:00

选 Spring Security，集成 spring boot 比较好，最近也在做 spring 的企业项目，收藏下此帖子。

zzzmh

2021-01-22 10:04:28 +08:00

如果业务不复杂就自己写咯，用 jwt token，数据库开一个权限字段，然后在拦截器里面做鉴权

echo1937

2021-01-22 10:43:31 +08:00

Spring Security，配置倒是不复杂，就是学习路线陡峭一点。

cheng6563

2021-01-22 13:41:01 +08:00

Spring Security 太重了，就算花时间配好，过一过月就完全看不懂配了啥。
有时候要改点功能也无从下手。
建议直接自己写了，也不是个多复杂的组件。

shaoyijiong

2021-01-22 17:26:11 +08:00

自己手写比较好在网关拦截下
通过用户信息和接口地址来判断是否有权限访问该接口

lvxiaomao

2021-01-22 17:50:33 +08:00

可以使用切面方式，自己写一个吧

KuroNekoFan

2021-01-22 17:56:42 +08:00

切面做基础的用户验证，细粒度的就要侵入到业务代码里了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/747239

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.