Se você está desenvolvendo uma API RESTful (e quem não está), então você precisa usar tokens para autorizar o usuário. Claro, você pode criptografar a senha do usuário no cliente e transferi-la sempre para o servidor, para cada um de seus recursos protegidos, mas há uma grande probabilidade de que seu tráfego seja espionado e o algoritmo de criptografia seja hackeado. E simplesmente não é conveniente autorizar cada recurso da API REST. Isso pode ser usado se você tiver literalmente algumas APIs e não quiser aumentar todo o sistema. Você também pode, é claro, usar o servidor de amortização de outra pessoa, por exemplo, Google ou Okta - fornece autorização como serviço. Ou aumente o Keycloak. Ou você pode usar o Spring Security, que se conecta de maneira fácil e simples ao Spring Boot. Mas para fazer isso, você precisa entender o ciclo de vida da aplicação SPring e como funciona o Filtro de Solicitações. Se este tópico é do seu interesse e você gostaria de dar uma olhada mais de perto neste tópico, ou seja, como implementar totalmente a autorização e autenticação na API REST, dividindo por funções (RBAC - Role Based Action Control), e salvar dados no Banco de Dados, e não apenas na memória ou no texto, como em muitas lições do Hello World, então convido você a mergulhar comigo em uma sessão de Livecoding, onde implementaremos tudo isso. Link - https://youtu.be/m5FAo5Oa6ag
GO TO FULL VERSION