Do swojej aplikacji (Spring Boot) chcę dodać użytkowników, podpiąć Spring Security, a potem zrobić do tego frontend (Bootstrap - używając XHR, może React Bootstrap). Pierwszy raz robię front z logowaniem itp.
Jeżeli chodzi o Spring Security, to obczaiłem sobie 2 podejścia:
- JWT - bardzo fajne, ale
- znalazłem info, że to niekoniecznie dobre narzędzie do takich celów (np. ze względu na rozmiar - ale w moim przypadku to nie problem)
- brak wylogowywania - ale można ustawić datę wygaśnięcia tokenu
- konieczność "odświeżania" tokenu
plusy: - prostota, niezależność od formularzy, wszystko mogę ładnie załatwić za pomocą samego XHR
- możliwość wygodnego udostępnienia API innym użytkownikom
- nie ma CSRF
- "Tradycyjne" Basic auth - sesja - ciastko
JSESSIONID
- prostsza konfiguracja Spring Security
- walka z domyślnymi mechanizmami Springa i przelądarki (np. przekierowania - nad tym jeszcze nie udało mi się zapanować :/)
- upierdliwość CORS w połączeniu z XHR - działa dopiero po umieszczeniu pliku HTML w katalogu
resources
mojej aplikacji -> muszę resetować aplikację po wprowadzeniu zmian w HTML... Poza tym nie chcę, żeby front i backend były ze sobą tak mocno związane - chcę mieć dwa osobne repozytoria
Tak więc skłaniam się mimo wszystko w stronę JWT. Przeoczyłem coś ważnego w punktach wyżej? Czego byście użyli, pisząc własny projekt? Z czym się częściej spotykacie np. w pracy?