Zabezpieczenie aplikacji oauth2

Witam, mam pewną zagwozdkę i mam wielką nadzieję, że mi pomożecie.
Otóż zrobiłem projekt w springu, typowe rest api. Chciałem zrobić taki myk, żeby można było zalogować się za pomocą facebooka.
Korzystając z tego linku udało mi się to osiągnąć. Pobieram sobie z facebooka facebookId, imię i nazwisko, a po udanej autentykacji sprawdzam po facebookId czy mam już takiego usera w bazie - jeśli nie, to go tworzę.

I wszystko mi się podobało do momentu, w którym wczoraj pomyślałem, żeby spróbować pisać do tego frontend w react'cie. Czytałem na internetach, że na backendzie powinienem generować token. Ale niby jak miałoby to wyglądać ?

Poczytaj o JWT

herbatek napisał(a):

I wszystko mi się podobało do momentu, w którym wczoraj pomyślałem, żeby spróbować pisać do tego frontend w react'cie. Czytałem na internetach, że na backendzie powinienem generować token. Ale niby jak miałoby to wyglądać ?

Wygląda to tak, że skoro masz REST API, to z definicji nie możesz mieć sesji zalogowanego użytkownika na serwerze, dlatego podczas akcji logowania serwer powinien wygenerować token autoryzacyjny (JWT o którym wspomniał @Bambo) który aplikacja po otrzymaniu powinna dołączać do żądań w odpowiednim headerze (Authorization: JWT <token> czy jakoś tak). Jeśli dany zasób jest zastrzeżony dla zalogowanego użytkownika czy np dla członków grupy, serwer sprawdza token, jego termin ważności (tokeny generowane przez serwer przeważnie wygasają po ustalonym czasie) i ustala tożsamość usera.

Krótkie wprowadzenie dla wyobrażenia sobie zagadnienia

Dziękuję dobrzy ludzie :3