Я планирую сделать небольшое мобильное приложение, которое будет опираться на API-интерфейс java (spring-spring mvc) rest. API-интерфейс будет иметь пути, которые выглядят, как это, например:Обеспечение безопасности REST Api с весной Безопасность достаточно?
/отдых/POST счет (будет создать новую учетную запись (счет состоит из имени пользователя + пас + электронная почта)
/отдых/фото/как например, что модифицирует поведение и добавляет вещи в базу данных ...
Я также планирую использовать Spring Security для обработки аутентификации/авторизации. Итак, перед тем как сделать любой авторизационный вызов (например, rest/photo/like), он должен будет войти в систему (поэтому в основном для/security_check? j_username = имя пользователя & пароль
И отныне каждый запрос должен включать JSESSIONID в файл cookie.
Мой вопрос: достаточно ли этого достаточно? Должен ли я использовать OAUTH2? Или это слишком сложно?
Вопрос о бонусе: поскольку вам не нужно проходить аутентификацию, чтобы сделать вызов/rest/account для создания учетной записи, что является лучшим способом избежать того, что пользователь создает 1000000 учетных записей? Apache/ip-фильтр? Или я должен справиться с этим в каком-то перехватчике весной-mvc?