结合Vaadin Admin UI和REST API

Question

IM正在处理一个应该有两个部分的Spring Boot应用程序：在Vaadin中完成的一个admin UI-Part和一个由REST-API端点组成的部分，用于消费本机应用程序。

Admin UI（Form-Login）的身份验证应与REST API完全不同（例如，具有固定令牌或数据库的令牌）。

实现这一目标的最佳方法是什么？由于基本上是两个不同的应用程序，具有共同的数据访问是有意义的 /有可能两个启用两个弹簧应用程序上下文吗？还是足以以一种特殊的方式配置弹簧安全性？仅添加一个RestController并将Springsecurity的URL排除在外，已经将我带到了解决方案中的一半，但是如果我也想为REST-API进行身份验证该怎么办？但基本上与其自己的应用程序提供商完全不同。

Answer 1

Spring支持基于角色的授权和多个身份验证提供商。因此，从本质上讲，您可以为您的管理用户提供特殊的角色，并在Vaadin视图中需要此角色，以防止普通用户访问Admin UI。您还可以在同一应用程序中具有单独的身份验证机制，例如，您可以通过LDAP对用户进行身份验证，并通过数据库进行管理。您不需要执行单独的应用程序上下文。