我正在努力保护REST API,这是我正在使用的基本设置(Happy Path):
1)UI将请求使用其他服务进行身份验证,此服务将返回一个JWT到UI。
2)一旦UI的用户完成了他们的工作,他们将向REST API发出请求,我的任务是使用传递给我的JWT进行保护。
3)然后,我将确保JWT合法,获取用户角色,然后确定用户是否有权访问该端点(执行所请求的功能)。
我确信这是可能的,但我过去使用Spring Security的经验并不仅仅是处理JWT或授权。
实现身份验证和授权是正确的方法,让它工作然后退出身份验证部分吗?
感谢您的帮助!