Поток аутентификации JWT во внешнем приложении?

Question

У меня есть простой CRUD Java Spring-boot REST API, который подключается к MongoDB для сохранения / получения информации о статистике покера пользователя. Этот API в настоящее время не защищен JWT.

API показан ниже:

GET - /users/{userId}/games : gets all games relating to a user
GET - /users/{userId}/games/{roundId} : get a specific game relating to a user
POST - /users/{userId}/games/ : create a game
DELETE - /users/{userId}/games/{roundId} : Delete a game
PATCH - /users/{userId}/games/{roundId} : edit a game

Я в процессе добавления внешнего интерфейса к веб-приложению, я изучаю JavaScript, но еще не начал изучать Speci c рамки.

Я хочу проверить правильность / допустимость приведенного ниже потока Authorisation/Authentication, прежде чем приступить к разработке внешнего интерфейса приложения?

1. User presses login button on client (e.g express/angular app) - this hits the /login endpoint
2. Auth0 redirects client to /authorise endpoint and displays login page for User
3. Auth0 verifies username and password against DB to check if a valid user
4. If login is successful: Auth0 redirects back to a specific page on the client with a JWT Token
5. Client Application stores the JWT to use in future requests
5. This JWT can then be used to make REST API calls to Java REST API

Answer 1

Да, вот и все, просто подумайте еще о нескольких вещах:

• Получить пользователя, чтобы отобразить имя пользователя на клиенте
• Как вы храните токен JWT на клиенте
• Если вам нужны социальные логины, это становится немного сложнее

Я бы рассмотрел клиентскую среду, чтобы все это запекать.