Я пытаюсь защитить Spring загрузочный REST apis, которому нужен только пользователь, чтобы ввести действительный OTP (который я уже проверяю), у меня нет проблем с реализацией этого с помощью сеансов / файлов cookie / JWT, но мне нужно использовать простейшую реализацию Это поддерживается загрузкой Spring, чтобы дать пользователю токен или каким-то образом узнать его, чтобы он получил доступ к защищенным API REST.
Я мог бы создать Jwt и отправить его пользователю, но аутентификация этого через каждый API кажется слишком сложной, если сделать фильтр и использовать его на каждом защищенном API
Это (по сравнению с использованием что-то вроде эта ссылка ), где мы видим, что Spring Security уже обеспечивает простую и глобальную защиту для API, но зависит от аутентификации с использованием имени пользователя и пароля.
Я не хочу воссоздавать колесо, так как в безопасности я считаю, что лучше всего использовать стандартные библиотеки, чтобы избежать каких-либо проблем.
Какова лучшая практика для сценария выше, так как я был поражен различными подходами, которые я видел, и я не знаю, что лучше?
1- Проверять Jwts в центральном месте для защищенных API?
2 - Создать сеанс для пользователя (без использования Redis или БД), но только сохранить его на сервере приложений?
Любая помощь приветствуется.