以前の投稿で、私は SO コミュニティに、ユーザーが src から私の URL を単純に切り取って、ある種の無料の API として使用できないように、サーブレットを保護する最善の方法は何かを尋ねました。
サーブレットを自分のサイトのみに保持する方法 (ある種の認証)?
OAuth 1.0 は安定しており、十分にサポートされているため、OAuth 1.0 を調べるように指示されました。
さらに考えてみると、OAuth と jquery ajax の代わりに JSP を使用するとどうなるでしょうか。
すべての主要なハード コーディングされたファイルを Varnish サーバーに置くこともできますが、動的コンテンツが必要なファイルだけが、データのサーブレットを呼び出す JSP ファイルになるため、サーブレット アドレスは公開されません。
質問:この JSP モデルは本番環境で受け入れられますか? それとも、jquery ajax と oauth を使い続けるのが最善のシナリオですか? これら 2 つの異なるシナリオの速度の違いはかなりのものですか?
前の質問で。OAuthが厳密に答えであるかどうかはわかりません(使用される可能性はありますが)。OAuthは、サードパーティの認証と承認を介してサービスを使用できるようにすることを目的としています。あなたの場合、その第三者が誰であるかはわかりません。
あなたが望むかもしれないように聞こえるかもしれませんが、認証トークンの概念です。したがって、クライアントがサービスを呼び出す前に、クライアントはサービスの1つを呼び出して認証トークンを取得する必要があります。サーブレットに対するすべての要求は、応答を発行する前に、この認証トークンを渡し、トークンがアクティブであると検証される必要があります。
サーブレットはステートレス(多くのAPIには確かに適切です)であるとおっしゃいましたが、クライアントアプリケーション全体が、何らかのイベント(クライアントアプリケーションのログインなど)を介してそのようなトークンを取得できる状態になっているのではないかと思います。サーブレットに対する各リクエストで送信するためのトークンを保存できるほか、更新されたトークンを有効期限が近づくトークンとして処理できます。