jwt - stateless

А чем Spring AuthorizationServer не stateless?

Нерпавильное противопостовление, ты же спрашивал про JWT. С JWT тебе не надо ходить к AuthorizationServer для проверки пользователя

Так как JWT это не сессия, он несет в себе payload, полезные данные

Так ведь AuthorizationServer тоже не сессия. Передается Bearer Token в хедере для идентификации. Получение токенов происходит по ресту, там json.

Так а потом что вы делаете с Bearer Token?

Идете пользователя искать в бд? Чем не сессия?

Запрос с Bearer Token идет в Resource Server, он же в свою очередь по рест апи тянет из Authorization Server пользователя.

Да, это не stateless

stateless - приходит JWT чекаем подпись, если верна юзаем payload

никуда ходить не надо

А как мы понимаем чей это токен?

Стоит ознакомится что такое https://jwt.io/

Ответ мы храним инфу о пользователе в Payload jwt
Но это лишь один из вариантов. Системы делают по разному. Например можно получать токен на операцию (токен на добавление товара в корзину). Те resource server просто проверяет что токен валидный и разрешает операцию

И вот мы уже можем отделить полностью  resource server от пользователей, ролей, доступов и тд

Кст Spring AuthServer еще поддерживается?

Да, вполне

Благодарю за разьяснение)

What is the future of OAuth 2.0 support in Spring Security?

The next generation of OAuth 2.0 support is being added throughout the Spring Security 5 release train. As of Spring Security 5.2, there is built-in support for OAuth 2.0 Login, Client, and Resource Server, with a breakdown visible in the above matrix. We plan to continue to add features for Client and Resource Server pertaining to the OAuth 2.0 Core and Extensions, OpenID Connect 1.0 and Javascript Object Signing and Encryption (JOSE) specifications. We are no longer planning on adding Authorization Server support to Spring Security.