Я разрабатываю приложение с использованием реакции и весенней загрузки. Это будет бэк-офис, использующий данные существующей базы данных (только для чтения). В этой базе данных представлены пользователи с их Steam ID. У них есть роли и привилегии. Только администратор сможет видеть бэк-офис. Я хочу узнать много чего: JWT, OpenID, OAuth, Reactjs ... Этот проект дает возможность изучить эти вещи.
Я буду использовать SpringBoot для создания RESTful API, который будет запрашивать база данных с гибернацией.
Вот как я вижу поток: Front-end предоставляет кнопку, которая перенаправляет на страницу входа в Steam -> пользователь аутентифицируется в Steam и перенаправляется в мое приложение для реагирования с SteamID в URL -> интерфейс будет вызывать мой API (разработанный в SpringBoot) с чем-то вроде / api / authentication с steamID в теле. Если пользователь является администратором, возвращаются токен доступа и токен refre sh. Если нет, я возвращаю 403.
Это правильный поток? Уважает ли это соглашения openid? Есть ли лучший способ сделать это?