Я очень озадачен аннотациями SpringBoot и Spring Security, и мне нужны некоторые советы.
В настоящее время я занимаюсь поиском защиты своего приложения с помощью сервиса OpenId Connect (предположим, Google).У меня есть приложение SpringBoot, которое обслуживает веб-страницы JSP, откуда пользователи могут входить в систему и делать некоторые вещи в зависимости от ролей.Кроме того, это приложение также имеет REST API, который используется некоторыми внешними приложениями (нативными мобильными приложениями).
Теперь я хочу защитить взаимодействие веб-страниц и конечные точки REST.Веб-страницы могут быть защищены с помощью cookie-файлов, а весенняя загрузка и безопасность делают практически все за пределами экрана, и я даже реализовал this и this .Но обеспечение API-интерфейсов сбивает меня с толку.Я хочу добиться двух вещей для конечных точек REST:
- Аутентификация: сначала позвольте пользователям войти в систему, и мое приложение должно вернуть токены (id_tokens, токены обновления или доступа и т. Д.), Предоставленные Google OIDC)
- Во-вторых, Авторизация: токены (предоставляемые Google должны проверяться моим приложением при последующих запросах этих внешних приложений.
Я совершенно потерян, с чего начать чтение. Существуют тонны онлайн-материалов, которые в основномохватывает только первый подход на основе файлов cookie.