0
私のプロジェクトは、クライアントアプリケーション(angular4)とAPIサーバ(grails3)であり、我々はAuth0の使用を開始したいと思います。私は右のそれを得た場合は、JWTの使用に私は次の流れに「セッションレス」APIアーキテクチャを持つことができます。ロック付き例えばクライアントアプリログイン()Auth0 + Grailsの3 +春のセキュリティ
で1)ユーザーを
2)APIへのすべてのリクエストにはjwtトークンが含まれ、apiはトークンとロールの追加を検証できます(カスタムトークンなどの役割は「token_id」にパークできます)。
現在のAPIのセキュリティは春のセキュリティによって行われます。
我々は設定ファイルに静的なルールに
パターンがあります: '/休憩/ **' アクセス:[ 'ROLE_USER' を]>
リソースが「public」の場合コントローラ内のメソッドに注釈を付けるだけです
@Secured(['permitAll'])ユーザーだからここ
セッションに彼の役割アプリケーション(角度クライアントからのAPIサーバーへのAjaxリクエスト)と春のセキュリティストアにログインするには、私の質問です:
- それを継続することが可能ですAuth0 + JWTでのセキュリティ設定を使用する(APIサーバへの各リクエストにはJWTが含まれているため、tokenIdを確認し、デコードし、ロールを追加し、セキュリティを強化するための "インターセプタ"があります。サービス - ユーザーがログに記録され、役割がセッションに格納されるため)。
- このような「インターセプタ」は存在しますか?
ありがとうございました!
ありがとう、これは私が探していたものです。ありがとう –