oauth 2.0, JWT, Spring security, микро сервисы

Question

Мне нужно некоторое понимание всего потока обеспечения безопасности Spring.

1. Я реализовал oauth2 Сервер авторизации и Сервер ресурсов в одном приложении Spring Boot. Где я могу сгенерировать Токены JWT И образец Rest API в этом приложении защищен и доступен только с токеном.

2. У меня есть другое приложение с загрузочной пружиной, которое должно быть защищено? Что я должен сделать в этом. Также мне нужно прочитать токен в этом сервисе, чтобы узнать роль пользователя.

Пожалуйста, объясните мне, как реализовать шаг 2.

Answer 1

Вы можете создать модуль, в котором реализован ваш весенний конфигурационный файл безопасности.

В этом модуле есть класс, аннотированный аннотацией @EnableWebSecurity, где вы определяете открытые маршруты. Я полагаю, что у вас уже есть такой класс для вашего примера API отдыха, упомянутый в шаге 1.

Теперь все микросекунды, которые нужно защитить, используют этот модуль, импортируя его, например, как зависимость maven. Таким образом, его API автоматически защищается с помощью Spring Security.

Ваша служба аутентификации обслуживает конечную точку jwk, где каждый микросервис может проверить токен с помощью ключа publi c.