mon projet est l'application client (de angular4) et le serveur api (grails3) et nous aimerions commencer à utiliser Auth0. Si je l'ai eu droit, avec l'utilisation de JWT je peux avoir « session moins » architecture API avec le flux suivant:Auth0 + 3 + Grails Spring Security
1) utilisateur client application connexion (par exemple avec serrure)
2) toutes les requêtes à l'API contiendra jwt token et api peut "vérifier" le jeton + ajouter des rôles (les rôles peuvent être park de "token_id", par exemple comme revendications personnalisées).
sécurité API actuelle est effectuée par Spring Security:
que nous avons sur la règle statique dans le fichier de configuration
pattern: '/ repos/**' accès: [ 'ROLE_USER' ]>
lorsque la ressource "est public" que nous venons d'annotation sur la méthode dans le contrôleur
@Secured(['permitAll'])
journal utilisateur dans l'application (demande ajax du client angulaire au serveur api) et magasin de sécurité du printemps ses rôles dans la session
Voici donc ma question:
- Il est possible de continuer en utilisant notre configuration de sécurité avec Auth0 + JWT (donc chaque requête au serveur API contiendra JWT, il y aurait un "intercepteur" qui vérifierait tokenId, décoderait, ajouterait des rôles et ensuite la sécurité de printemps vérifierait si l'utilisateur a un rôle approprié pour accéder à l'API service - en tant qu'utilisateur serait connecté et ses rôles seraient stockés dans la session).
- Un tel "intercepteur" existe-t-il?
Merci beaucoup!
Merci beaucoup, semble que c'est exactement ce que je cherchais. Merci –