REST를 통해 원격 Java 서비스와 통신하는 모바일 앱을 작성 중입니다. https 보호 (데이터의 특성으로 인해 보안이 필요함)로 내 (SpringBoot) 웹 서비스를 보호했지만 내 질문은 https 호출을 보호하기 위해 사용하는 사용자/암호에 대한 것입니다.서비스 사용자 또는 공용 사용자가있는 안전한 REST 끝점
https 헤더에서 사용하는 사용자 이름과 비밀번호는 클라이언트 (모바일 앱) 및 Java 서비스가 알고있는 서비스 계정이어야합니까, 아니면 공용 사용자의 사용자 이름과 비밀번호 여야합니까? 가장 쉬운 옵션은 서비스 계정을 사용하는 것뿐입니다.하지만 모바일 앱에는 이러한 세부 정보가 내장되어 공개적으로 배포됩니다 (컴파일 된 형태 임에도 불구하고).
다른 방법으로 사용자의 사용자 이름과 암호를 사용한다는 것은 로그온 REST 끝점을 열어 놓아야한다는 것을 의미합니다 (이는 괜찮을 것 같습니다).하지만 약간 더 까다롭게 보입니다.
응답 해 주셔서 감사합니다. 내가 정말로 이해하려고하는 것은 대화에서 서비스가 완전히 암호화 될 때입니다. – user1387735