Вот так тоже просто:
1) UI -(login, pass)-> OAUTH -(token, refresh token)-> UI
2) UI -(token)-> backend

В чём тогда затруднение? Получил код, выдал на UI токен. Следующий запрос ожидаем с токеном.

Окей
И тут вопрос - в каждом запросе вначале проверять хэдеры на наличие токена?
Для этого, полагаю, есть встроенные механизмы
Плюс этот токен должен храниться в бд в привязке к владельцу
Сделать сохранение - окей
А получение Principal автоматически в эндпоинте?

Hi, how to download spring boot javadoc for offline reference?

https://repo.spring.io/libs-release/org/springframework/
Navigate to required project (e.g. boot in this case) -> navigate to version required -> download archive with name ending with *doc / *javadoc / something along the lines

Thank you so much yar, i have been searching for this for about two hours

np :)

SpringSecurity представляет собой еще 1 Сервлет фильтр (т.е. он сам срабатывает на каждый запрос). В свою очередь этот фильтр внутри разбивается еще на что-то там в районе 15+ фильтров, каждый из которых принимает решение о том, аутентицифировать ли пользователя.

Тебе нужно засунуть туда свой фильтр со своей логикой. По-моему для oauth оно делается само, это надо нагуглить.

Тогда после прохода запроса через все фильтры и принятии положительного решения для пользователя, Principal можно вытащить либо из SecurityContextHolder, либо просто указать Principal параметром метода @RequestMapping. Он сам замапится. Если же пользователь не проходит аутентификацию - ему вернется 401 (Вернее, запрос перекинется на обработку в AuthenticationEntryPoint, который может делать что угодно, так как это точка расширения в конфиге security, но кажется поумолчанию он вовзращает 401)

@GetMapping
public SomeReponse(Principal principal)

Гуглить тебе стоит в сторону "Spring boot oauth example github".

Вот есть на пальцах, как работает секьюрити https://spring.io/guides/topicals/spring-security-architecture

Привет! Подскажите, как в JsonDeserializer (jackson.databind) получить объект request ? (с целью распарсить урл)
public class StatusListDeserializer extends JsonDeserializer<StatusListDto> { ...
Он подключается в конфиге:
@Configuration
@AutoConfigureBefore(JacksonAutoConfiguration.class)
@EnableConfigurationProperties(ParamSettingProperties.class)
@Slf4j
@RequiredArgsConstructor
public class CommonConfiguration {...

#spring #boot #jackson

Подскажите плиз по dependency Injection best practices. Я правильно понимаю, что в дефиниции бина норм производить его инициализацию и конфигурацию (например создание Long Poll соединения / отправка запроса для настройки внешнего апи итд)?
В каком месте это делаете вы?

в смысле?
в spring-security-oauth это всё уже реализовано)
а лучше вообще использовать boot и соответствующий starter

это норма
бины часто создаются и конфигурятся с помощью каких-нибудь билдеров/фабрик/проперти классов

в конфигурации докера установлено  ports:
   - "80:80"
   - "443:443" , volumes для nginx,   - VALIDATION=http, но он все равно генерит новый сертификат при compose up , вместо того чтобы подтянуть сгенерированный ранее, в чем может быть проблема?

/ban

Спринг интересней, но сданный экзамен повышает твою зарплату

Завтра будет

Спорное утверждение. Если на это не было спроса при найме. то и в процессе работы наврятли принесет пользу

В Германии это работает

Не распарсил