Помогло! Спасибо огромное! А что такое надо читать, чтобы в данной ситуации понять откуда ноги растут? И второй вопрос - это можно было бы как-то отладкой найти?

Описал в сущности PK как композитный ( с помощью EmbeddedId ) , проблема исчезла

Но почему вообще была проблема - вообще не ясно

идея странная без стороннего прокси/оркестратора

но если прям так хочется, тебе нужен обыкновенный фильтр и в нем дергать самого себя - хэлзчек

и если что не так, то обрывать запрос

магия ) я хз как у тебя несколько ответов приходило с одним id - у тебя там нет триггеров на таблицу? - может что стоит на селект и оно выдает данные не те что ожидаются

хай, можете подкинуть гайд - как правильно сделать гвт авторизацию, где 1 микросервис (пускай будет gateway) отвечает за авторизацию( получить пароль, выдать токен)

Все другие микросервисы системы требуют токен, при получении токена в запросах - редирект на gateway для валидации токена, и получения rbac пользователя

А зачем нужен редирект куда-то, если у вас JWT? Он же как раз и удобен тем, что не надо никуда ходить
С RBAC роли могут находиться прямо в токене

хм, логично

Единственная проблема - то, что при смене роли токен не поменять, но это решается коротким временем жизни access token'а, тогда при refresh'е обновятся роли

Насколько я помню, то что не желательно добавлять лишние @Enable... на main класс, есть в официальной документации по Spring Boot. Какие принципы используются в работе Spring Boot хорошо разбирал Евгний Борисов и Кирилл Толкачев в докладах Boot yourself, Spring is coming. Также у них есть доклад Проклятие Spring Test. С пониманием базовых вещей можно повнимательнее обратить взор на документацию по Spring Boot и Spring Framework. Ну и на сами исходники.
Без понимания теории в дебагере до этого дойти было бы очень сложно.

спасибо за наводку, я еще подумаю

мне еще подсказали попробовать запустить с DEBUG=true , тогда говорят пишется какие автоконфигурации и почему применяется.

спасибо, это я смотрел, с удовольствием

самое просто - ваш identity provider выставляет jwks эндпоинт, вы умеете его читать с помощью клиента и использовать для валидации приходящих токенов

после валидации нужно прокидывать заголовок Authorizartion : Bearer <…> к клиентам за gateway

обычно описанное выше уже автоматизировано в библиотеках

https://auth0.com/docs/tokens/json-web-tokens/json-web-key-sets#:~:text=The%20JSON%20Web%20Key%20Set,signing%20JWTs%3A%20RS256%20and%20HS256.

Добрый день. Вопрос по вебсокетам (использую протокол STOMP). Как можно авторизовывать пользователя на SUBSCRIBE? Допустим, есть топик /user/{userId}/queue/messages, как можно сделать так, чтобы на него мог подписываться только пользователь с id == userId? Видел решение с ChannelInterceptor, но это похоже на костыль. Есть какие-то варинты получше?