有弹簧安全保障吗？

Question

我计划制作一个小型移动应用程序，它将依赖于java () rest。API将有如下所示的路径：

/rest/account POST (将创建一个新帐户(account由username+pass+email组成)

/rest/照片/例如，修改行为并向DB添加内容.

我还计划使用Security来处理身份验证/授权。因此，移动应用程序之前要进行任何授权呼叫(例如/rest/相像)，它将不得不登录(所以基本上是/security_check?j_username=username&password )。

从现在开始，每个请求都必须在cookie中包含JSESSIONID。

我的问题是，这足够安全吗？我必须使用OAUTH2吗？还是过火了？

附加问题:由于您不需要通过身份验证才能创建帐户/rest/ account，那么避免用户创建1000000帐户的最佳方法是什么？Apache/ip过滤器？或者我应该在spring的某个拦截器中处理这个问题？

Answer 1

1)是的，根据您的需求描述，我会说Security会做得很好。(REST服务通常是无状态的，而不是使用会话，但是Security可以同时处理这两个问题。)

2)你不需要使用OAuth2，除非你想从用户的Google或Facebook帐户中提取信息或类似的东西。

3)奖金问题并不是微不足道的。一种常见的方法是使用卡普查。例如，您可以使用OAuth将用户限制为他们拥有的每个Google/Facebook/X帐户的一个帐户。