Ouath2 + JWT и пружинный ботинок

Question

Я хочу безопасно реализовать в backend rest в oauth2 + jwt.

Я хочу реализовать следующий процесс аутентификации при весенней загрузке, но я не уверен, как это сделать: 1. Пользователь аутентифицирован , 2. Этот запрос получен, и с этим логином и паролем атакован ws, который проверяет учетные данные. 3. Если это правильно, в базе данных выполняется поиск ряда данных и разрешений. 4. Если это правильно, доступ предоставляется и генерируется токен jwt

Я потерял с этим и столько, сколько Я читаю, я не знаю, как я могу это сделать. Любое руководство или сообщение, которым я могу следовать?

Answer 1

Вы используете свой собственный (пользовательский) сервер аутентификации или вы планируете разрешить пользователям проходить аутентификацию через таких провайдеров, как Google, Facebook и c? Если это позднее, то вы вообще не можете ожидать получения учетных данных пользователя / пароля, так что вы могли неправильно понять поток OAuth. Как правило, вы получаете «код авторизации» от провайдера (например, Google).

Кроме того, что вы подразумеваете под «атакует ws, который проверяет учетные данные» ?

Эта диаграмма вариантов использования Google изображает общий поток. Это часть этого руководства .

В любом случае, Spring Boot сам по себе не работает с OAuth / security, но тесно интегрирован с Spring Security , который является хорошая инфраструктура безопасности, особенно если вы уже используете Spring. Spring Security может обрабатывать OAuth, JWT и др. c.

Несколько руководств, которые могут помочь вам начать:

• https://www.baeldung.com/spring-security-oauth-jwt
• https://spring.io/guides/tutorials/spring-boot-oauth2/