0
我的项目是客户端应用程序(angular4)和API服务器(grails3),我们想开始使用Auth0。如果我这样做是正确,智威汤逊的使用我可以有“会话少” API架构,流程如下:Auth0 + Grails的3 + Spring Security的
1)用户在客户应用登录(例如用锁)
2)对API的所有请求都将包含jwt令牌,并且api可以“验证”令牌+添加角色(角色可以停放为“token_id”,例如定制声明)。
我们在配置文件中对静态规则
模式: '/ REST/**' 访问:
当前API安全性是由春季安全完成[ 'ROLE_USER' ]>
当资源“公开”时,我们只是在控制器上的方法注释
@Secured(['permitAll'])
用户登录到应用程序(从角客户端AJAX请求API服务器)和春季安全储存他的角色进入会议
因此,这里是我的问题:
- 有可能继续使用我们的安全配置和Auth0 + JWT(所以每个对API服务器的请求都会包含JWT,会有一些“拦截器”来验证tokenId,对它进行解码,添加角色,然后弹出安全性检查用户是否具有访问API的适当角色服务 - 用户将被记录并且他的角色将被存储在会话中)。
- 这样的“拦截器”是否存在?
非常感谢!
非常感谢,看起来这正是我所期待的。谢谢 –