平均堆栈身份验证-最佳实践

我试图在Spring Boot中创建一个简单的角色登录。 我有一个用户类： 每当我尝试通过login.html登录时，我就会进入一个无限循环，出现以下错误消息： 知道我错过了什么吗？

我只是想知道如何实现这一点的当前最佳实践是什么，所以我一定会走上正确的道路。

这可能涉及到会话cookie、服务器端会话存储以及一些会话APIendpoint，通过身份验证的web UI可以访问这些endpoint来获取当前用户信息，以帮助个性化或甚至确定客户端的角色/能力。服务器仍将强制执行保护对数据访问的规则当然，UI将仅仅使用这些信息来定制体验。 将其视为使用公共API的任何第三方客户端，并使用类似于OAuth的某种令牌系统进行身份验证。客户端UI将使用此令牌机制来验

在REST spring Boot中对用户进行授权和身份验证的最佳实践是什么？ 我正在构建一个带有标准页面+REST API的移动应用程序。我看了很多关于Spring Security性的文章，基本上大多数都采用了某种fitler方法，允许或阻止REST调用。然而，在我的例子中，我有一些基于用户是谁的身份验证逻辑。例如，有一个API可以更新用户信息，用户可以更新自己，但不能更新其他人。最初我想使用

假设我有一个Web应用程序，我在其中实现了刷新令牌 < li >用户使用发送到< code>/login REST APIendpoint的正文中的用户名和密码登录。 endpoint创建一个到期时间为1个月的刷新令牌，并将散列后的刷新令牌存储在对应于用户ID的Db中。 endpoint创建到期时间为15分钟的JWT访问令牌，该令牌使用服务器密钥签名并对用户ID进行编码。 endpoint使用刷新