Защита ресурсов

Безопасность ресурсного сервера определяется в автоконфигурации дополнения Authorization Server. Эта конфигурация предоставляет точки расширения, которые могут быть использованы для определения любого URL-шаблона как защищенного. Подробности о том, как настроить защищенные ресурсы, смотрите в разделе Аутентификация на основе токенов.

Отправка Access Token

После определения вышеуказанной конфигурации все запросы к эндпойнтам /greeting/** будут требовать access token в заголовке Authorization. Значение заголовка должно содержать слово Bearer, за которым следует значение access token. Например:

GET /greeting/hello HTTP/1.1
Host: server.example.com
Authorization: Bearer <ACCESS_TOKEN>

Защита общих REST API эндпойнтов

Когда вы просто добавляете дополнение REST API в ваше приложение, REST эндпойнты по умолчанию не будут защищены.

Для настройки аутентификации на основе токенов вам необходимо определить следующее свойство приложения (смотрите его описание здесь):

jmix.resource-server.authenticated-url-patterns = /rest/**

Для доступа к REST эндпойнтам вам необходимо получить access token и передать его в заголовке Authorization HTTP-запроса. Значение заголовка должно содержать слово Bearer, за которым следует значение access token. Например:

GET /rest/entities/User HTTP/1.1
Host: server.example.com
Authorization: Bearer <ACCESS_TOKEN>