Я хочу создать механизм авторизации для защиты некоторых конечных точек, используя Quarkus + OID C (режим API, а не веб-сервер).
Pre:
- После входа в систему (в токене ответ), я получаю от OpenIDProvider
access_token (базовая c строка) + id_token (JWT, который содержит претензию roles) + refresh_token (не важно в этой топи c) - Далее,
access_token будет использоваться внешним интерфейсом как Authorization Header
Я пытался использовать this , но я не могу контролировать токен, который анализируется. Из того, что я видел, он использует access_token.
. Есть ли возможность интегрироваться с Quarkus Security и заставить Quarkus анализировать id_token вместо access_token, а затем выполнять роли (с помощью специального анализатора JWT , как Spring может сделать), а затем сопоставить их вместе (access_token + id_token)? Поскольку внешний интерфейс придет к бэкэнду только с access_token
Должен ли я принимать во внимание пружинная безопасность ?