我刚刚从头开始一个新项目,并决定使用 Kotlin 和 SpringBoot 3,在前端使用 ReactJS,并使用 Auth0 作为身份提供者。就我喜欢 SpringBoot 而言,我对在这种设置中进行身份验证的推荐方法感到非常困惑。 让我详细说明几个关键的事情:
有人可以向我解释在新的 SpringBoot 中创建安全配置的步骤吗?同时记住我所说的先决条件?
我还在 Baeldung 上编写了 SPA 和 Spring 的教程。
我使用spring-cloud-gateway
作为 SPA(通过会话保护)和 Spring 资源服务器(通过 OAuth2 访问令牌保护的 REST API)之间的 BFF。我的教程中的 BFF 配置为接受来自 3 个不同来源的身份,其中 3 个来源是 Auth0。
出于安全原因,JWT 永远不会到达 SPA。用户信息由后端提供(我的教程中的 BFF,但可以是其后面的任何资源服务器)。在返回用户信息有效负载之前,您可以检索任何业务数据并将其附加到此服务中的响应...