Es gibt viele Richtlinien und Beispielcodes, die zeigen, wie die REST-API mit Spring Security gesichert wird. Die meisten davon setzen jedoch einen Webclient voraus und sprechen über Anmeldeseite, Umleitung, Verwendung von Cookies usw. Möglicherweise handelt es sich sogar um einen einfachen Filter, der nach dem sucht Ein benutzerdefiniertes Token im HTTP-Header ist möglicherweise ausreichend. Wie implementiere ich Sicherheit für die folgenden Anforderungen? Gibt es ein Gist / Github-Projekt, das das Gleiche tut? Mein Wissen über die Federsicherheit ist begrenzt. Wenn es also einen einfacheren Weg gibt, dies mit der Federsicherheit umzusetzen, lassen Sie es mich bitte wissen.

REST-API wird vom zustandslosen Backend über HTTPS bereitgestelltClient kann eine Web-App, eine mobile App, eine SPA-App oder APIs von Drittanbietern seinKeine Basisauthentifizierung, keine Cookies, keine Benutzeroberfläche (keine JSP / HTML / statischen Ressourcen), keine Umleitungen, kein OAuth-Anbieter.Benutzerdefiniertes Token, das in HTTPS-Headern festgelegt istDie Token-Validierung erfolgt gegen externen Speicher (wie MemCached / Redis / oder sogar ein beliebiges RDBMS)Alle APIs mit Ausnahme ausgewählter Pfade (z. B. / login, / signup, / public usw.) müssen authentifiziert werden.

Ich benutze Springboot, Spring Security, etc .. bevorzuge eine Lösung mit Java Config (kein XML)