web平台认证的设计

Question

在构建一个完整的web平台(例如商店)时，我遇到了一些架构问题。考虑到Java、Google (GAE)、Shiro和Restful

考虑到我有平台的以下三个主要组件：

• 前端用户界面
• 管理用户界面
• 后端

这3个组件都作为单独的应用程序在GAE平台上运行。

前端 ui是指用户使用‘用户’作为与系统交互的主UI，使用Javascript设计并通过Javascript调用后端的UI。

Admin 是指管理员用来管理平台、其用户和内容的UI。

后端是前端UI和Admin连接到的Restful服务器/服务，它公开了/user api和/admin api以及/adminapi，它们完成了所提供的web服务的实际逻辑。

我的问题是，身份验证在哪里合适，如果我将身份验证放在后端，将如何与前端身份验证一起工作。例如，用户通过电子邮件或社交登录(oauth等)登录。我是否需要提供前端自己的身份验证，然后转发到后端，或者在前端，这应该只是UI和所有操作，如登录/注销必须通过后端。

如果我用Shiro，怎么能做到这一点。我非常希望前端用户界面尽可能少，甚至只是一个单页应用程序(SPA)或类似的东西。在认证方面，前端UI和后端(考虑到它们都是不同的GAE应用程序)的绑定应该是什么？

Answer 1

更多地认为这是一个建议，而不是一个答案。我理解您的问题是关于GAE的Java版本，但是您总是可以从其他实现中获得灵感。盖尼特是一个web应用程序框架，它展示了大多数良好实践。作为一个贡献者，我发现它提炼了过去几年的知识，也是初始化一个大型web应用程序的一个极好的起点。我非常确信您不会遇到Python实现方面的任何问题;)