@Leffchik69 если что-то такое делал раньше, то было бы кстати посмотреть ...
- по этой документации, что там написано это пример для обычных форм, а не rest-api, listener на failed не срабатывает
- /login как-то тоже надо защитить, я даже когда blocked, после 10 попыток авторизироваться, он все равно позволяет получить токен,
но другие api-endpoints работать не будут, только login и какие варианты есть его защитить?
- если человек заблокирован по ip, то правильно ли эту операцию делать раньше всех на уровне servlets, даже раньше чем проверка пользователя на авторизацию (потому чтоб выдать доступ к данным, надо проверить пользователя), с jwt я думаю все проще, в случаи с jwt можно и первым поставить, хотя ему каждый раз придется хеш/токен считать/сверять, не знаю на сколько это быстро.
* сейчас у меня идет два фильтра: user
authenticat
ion, blocked, в каком порядке их лучше делать на уровне сервлетов.
----
может от себя еще посоветуешь что-нибудь, что еще почитать, я по документации спринга хожу и пробую разные варианты,
с каждым разом конечно все лучше и лучше и больше понимания.