Защита ресурсов
Безопасность ресурсного сервера определяется в автоконфигурации дополнения Authorization Server. Эта конфигурация предоставляет точки расширения, которые могут быть использованы для определения любого URL-шаблона как защищенного. Подробности о том, как настроить защищенные ресурсы, смотрите в разделе Аутентификация на основе токенов.
Отправка Access Token
После определения вышеуказанной конфигурации все запросы к эндпойнтам /greeting/**
будут требовать access token в заголовке Authorization
. Значение заголовка должно содержать слово Bearer
, за которым следует значение access token. Например:
GET /greeting/hello HTTP/1.1
Host: server.example.com
Authorization: Bearer <ACCESS_TOKEN>
Защита общих REST API эндпойнтов
Когда вы просто добавляете дополнение REST API в ваше приложение, REST эндпойнты по умолчанию не будут защищены.
Для настройки аутентификации на основе токенов вам необходимо определить следующее свойство приложения (смотрите его описание здесь):
jmix.resource-server.authenticated-url-patterns = /rest/**
Для доступа к REST эндпойнтам вам необходимо получить access token и передать его в заголовке Authorization
HTTP-запроса. Значение заголовка должно содержать слово Bearer
, за которым следует значение access token. Например:
GET /rest/entities/User HTTP/1.1
Host: server.example.com
Authorization: Bearer <ACCESS_TOKEN>