У нас есть приложение, созданное с использованием Angular. И приложение запускает бэкэнд REST api для отображения данных.
Проблема заключалась в том,
Приложение использует аутентификацию LDAP SSO для проверки пользователя (это внутреннее приложение внутри компании, поэтому сторонних пользователей нет)
Шаги:
Если пользователь запускает сайт, он перенаправляется на вход в систему WebSec, где пользователь предоставляет имя пользователя и пароль для аутентификации (неявный поток).
После успешной аутентификации мы получим токен доступа JWT из WebSec, который будет храниться в хранилище сеанса и будет использоваться в качестве токена-носителя для внутренних служб.
У серверной службы есть свой сертификат WebSec для проверки этого токена JWT на своей стороне, если он не ответит с ошибкой аутентификации.
Для Front end - мы используем Angular. Для back end - мы Java, Sprint boot.
Вопросы,
- Это правильный способ аутентификации пользователя?
- Если да, то насколько безопасен неявный поток. Ссылка: https://www.instagram.com/developer/authentication/. Все рекомендуя Явный поток (вызов на стороне сервера). Наше приложение пользовательского интерфейса поддерживается на другом сервере, а серверные службы обслуживаются на другом сервере.
Буду признателен, если кто-нибудь предоставит решение по этому поводу.