Protegendo a API REST usando tokens personalizados (sem estado, sem interface do usuário, sem cookies, sem autenticação básica, sem OAuth, sem página de login)

Existem muitas diretrizes, exemplos de códigos que mostram como proteger a API REST com o Spring Security, mas a maioria deles assume um cliente da Web e fala sobre página de login, redirecionamento, uso de cookies etc. Pode ser até um filtro simples que verifica a token personalizado no cabeçalho HTTP pode ser suficiente. Como implemento a segurança para os requisitos abaixo? Existe algum projeto gist / github fazendo o mesmo? Meu conhecimento em segurança de primavera é limitado; portanto, se houver uma maneira mais simples de implementar isso com segurança de primavera, entre em contato.

API REST atendida por back-end sem estado sobre HTTPScliente pode ser aplicativo da web, aplicativo móvel, qualquer aplicativo no estilo SPA, APIs de terceirossem autenticação básica, sem cookies, sem interface do usuário (sem JSP / HTML / static-resources), sem redirecionamentos, sem provedor OAuth.token personalizado definido nos cabeçalhos HTTPSA validação de token feita em armazenamento externo (como MemCached / Redis / ou mesmo qualquer RDBMS)Todas as APIs precisam ser autenticadas, exceto os caminhos selecionados (como / login, / inscrição, / public, etc.)

Eu uso Springboot, spring security, etc. prefiro uma solução com configuração Java (sem XML)