Всем привет, подскажите, как на heroku задеплоится с постгрес?

в дефолтном файлике Pom.xml 2 зависимости Хикари пул и сам постгрес. С ними цепляется, но мне нужна еще spring boot jpa, а когда ее добавляю уже ничего никуда не цепляется.
убираю нафиг хикари и еду с спринг jpa выдает что не видит url (который в апп.пропертис прописан как $JDBC_DATABASE_URL и должен откуда то тянуться)
я что-то не так делаю или этот

TL;DR:
JDBC_DATABASE_URL нужно в .env положить?

heroku там переменные создаешь, которые потом можно испольовать

а 2-второй вопрос есть что подсказать?

я делаю как тут - https://www.baeldung.com/spring-security-block-brute-force-authentication-attempts,
но так как тут всего нет, я добавил вот такие хендлеры

.exceptionHandling()
    .accessDeniedHandler(accessDeniedHandler)
    .authenticationEntryPoint(authenticationEntryPoint)

это в дашборде? config vars -> DATABASE_URL? оно?

по каким данным будешь проверять пользователя в бд, если он еще ничего не ввел. (Ввод пароля происходит на форме гугла).

Ответ на оба вопроса зависит от бизнеса кейса который ты пытаешься решить. Какая нагрузка, как она распределена, пытается ли это кто то ломать

нужно ли знать про то что кто то это пытается ломать и с какой точностью

сколько нод будет у приклада

просто spring security изучаю, смотрю какие варианты есть

куча вариантов. База, внешний кэш, или состояние самого приложения

я сейчас сделал так что по ip банит, сохраняет в локальную память - если 3х раза ошибся все ты в бане
эти процессы надо обрабатывать, я делаю через .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint),
это правильное решение?

и надеюсь как-то направить меня на более правильный путь.

по почте
1 в базу слиты другие пользователи с gmail почтами
2 надоghv давать вход по почте

так я по ней и делал, там нет всех объяснений к сожалению

AuthenticationFailureEventListener - не работает с rest-api, только через формы

так пользователь открыл сайт и почту даже не вводил. Почту будет вводить на форме гугла, с которой инфу напрямую никак получить нельзя.

если сейчас говорим про oAuth, то там от гугла на бэк придет ответ с кодом, по которому можно получить данные о пользователе (фио, емейл и т.д.) и уже потом проверять есть ли пользователь в бд и т.д.

так и есть
данный кусок редиректит на гугл вход, который успешно авторизует человека.