Singular megvalósítása Token alapú bejelentkezéshez( bővebben lent)?

Ez inkább server oldal.

Step #1: Bejelentkezési adatokat küldesz a szervernek (pl. API-n át)

Step #2: Ezt ellenőrzi a szerver, majd generál egy token-t. Ez lehet valami random string, amit te letárolsz, vagy JWT, amit nem kell tárolnod. JWT-t javaslom.

Step #3: Válaszként elküldöd a user-nek, ahol böngésző localStore-ba mented le. Érdemes ide, ha új tabot nyit, akkor is működjön.

Step #4: Interceptor-t konfigurálsz angulárban, hogy ha van ilyen token, akkor tegye a headerbe: pl.: "Authentication: Api-Token asdasdasd" vagy Api-Token helyett vagy közvetlenül a token-t vagy valami előtagot állítasz be. Ez Java oldal csak String lesz, szóval azt le kell vágni a "value" elejéről. :)

Step #5: Ahol kötelező az auth, ott verifikálod a token-t és ha van jogosultságát.

Kb. ennyi.

Java kódot azért nem küldök, mert 1000+1 implementációt lehet rá csinálni.

Spring overview:

- JWT-re ez jó: [link] (Van Java kód is)

- Java Security (ha van) állísd STATELESS-re

- Célszerű generálni egy security filter-t, ahol feldolgozod a token-t minden kérésre. Ha nincs ilyen token vagy érvénytelen, akkor egy Guest felhasználót csinálni a SecurityContext-be

- Ezek után (+ kifórumozva egyéb beállítás mellet) használhatod a @hasRole annotációt, hogy milyen joga van. Hívhatja-e. Ha nem akkor evidens a FORBIDDEN. :)