Sto costruendo un'API Java RESTFul con Jersey2. L'API verrà utilizzata dagli sviluppatori. Gli sviluppatori dovrebbero avere accesso agli endpoint tramite un access_token (preferibilmente non in scadenza).
Ho dato un'occhiata a Kong e ad altre implementazioni di oauth2 ma ho la sensazione che questo potrebbe essere sopraffatto.
Quindi penso che un'autenticazione RBA basata su token dovrebbe andare bene per l'inizio. Il problema è che questo approccio si basa sulle date di scadenza dei token. Ma come ho detto - questo non è quello che voglio. Quindi è ok avere token senza scadenza?
Inoltre - cosa ne pensi? Oauth2 è essenziale per il mio caso? E quanto sarebbe difficile continuare a migrare da un semplice concetto di sicurezza (RBAC con token di accesso) a Oauth2?