So che la pratica migliore è lasciare tutto sull'autenticazione / autorizzazione al livello di servizio.
Il controller non dovrebbe esserne a conoscenza.
Ma come consentire ad un servizio (dal livello di servizio in modo tale) di verificare la presenza di una sessione http se non si inoltra la richiesta http?
In questo caso particolare, quando il login richiede un contesto di richiesta http, il controller deve essere il padrone dell'autenticazione e quindi passare l'utente recuperato come parametro del servizio come questo (in Java)? :
public interface SomeService {
void aService(User user, ...);
}
Un altro esempio potrebbe essere l'uso del meccanismo JWT.
La convalida del token deve essere attivata dal controller o dal servizio, assumendo in questo caso successivo che si passa il token in parametro del servizio?