Без отдельного сервиса аудентификации например

С JWT токенами например можно ещё как-то жить, но без внедрения carf уже много сложнее

А csrf это минимум мастхев

Как минимум для сервисов которые хотят пройти pci-dss

И про веб тоже, я застал это время, были апплеты и java web start, и сейчас он вполне живой, клиент интеррактив брокера на нём, оракл sql developer,idea

SWT и GWT - разные вещи.

А есть у кого-то опыт скрещивания Clojure и OSGi ?
Как оно? Имеет право жить?

Я смотрел в эту сторону, даже какие-то попытки были. Но приседаний очень много нужно делать с самим osgi. Так и не понял, зачем оно надо, если кложа есть и там раз в 10 все удобнее.

Если есть готовые сервис в osgi, то их легче снаружи дёргать, да и отлаживать на порядок проще.

1. Оч. проработанный и взрослый индустриальный стандарт
2. Java
3. Оч. широкие возможности расширяемости приложения.

Если скрестить это с оч. удобной кложей, то должна быть бомба.

кажется что он уже не развивается и всё меньше и меньше где используется

Да, если нужно 146+ плагинов, кластеризацию, единый контроль и управление, то скорее всего нужно смотреть в сторону osgi. С другой стороны - по факту обычно нужно:
- оркестрация, это сейчас и на докере или lxc делается, причем в разы легче и гораздо переносимее
- сервис-бас - ставят или кафку или пульсар, или даже кролика, в простых случаях редиской обходятся
- куча вебсервисов - ну, тут кто нодой, кто спрингом, вертексом, javalin, если кложа - то тут вообще всякого наделано
- фронт - все равно он на яваскрипт живет, а все остальное померно, начиная от jetspeed  и turbine  и заканчивая cocoon
- база - она всегда внешняя.

Теперь про этот самый энтерпрайz -  блин, поставить контейнер, подключить отладчик, написать правильные дескрипторы, запустить этого монстра, задеплоить 146+ плагинов, подождать минут 5, пока развернется, врубиться отладчиком, понять, что забыл запятую :)
Чертыхнуться и на новый круг в эти "Оч. широкие возможности расширяемости приложения".
Вот нахрена оно все это? на том же javalin  сервис пишется и проще и быстрее, не говоря про clojure! А если разносить приложение, то еще кучу приседаний сделать нужно. И для отладки ничего, кроме IDE и отладчика не нужно!!!
Нужно что-то зарезервировать? ну так через http  это сделать на порядок проще - ставим или nginx или ha-proxy.
И я никак не пойму, нахрена это весь суровый эртерпрайz, если разработчик пишет не все эти 146+ плагинов, а пару-тройку максимум....
Да, в osgi  сладкого много, и авторизация, и ssh  внутрях, и старт-стоп, и прыг-скок, и сервисы во все стороны, как у ежа....
Для чего я бы нашел применение osgi? Ну наверное для потоковой обработки, он блин, в той же кафке и пульсаре есть стримы, и с ними легче на порядок. Никаких приседаних, и танцев с бубнами.
А про стандарты, которые очень хорошо проработаны, мы их знаем: J2EE, JSP, Portlets, XML, SOAP, JMS, далее везде... И вместе со всем этим spring уже 20 лет вне стандартов во всем этом красивом!

а JWT точно хорошая вещь?

это как готовить :) немного получше кукисов

Да как по мне, куки лучше. Их хранит браузер, не надо каждый раз подставлять их в запрос

можно сделать так, что токен передается как в куках, так и в заголовках

В том, что касается браузерных фронтендов, безопасники очень любят куки с флагами Secure (чтоб только по шифрованным соединениям вроде https) и HttpOnly (чтоб никакого доступа из джаваскрипта) — так шансы угнать куки какой-нибудь вредоносью стремятся к нулю.

с куками только одна проблема - переавторизация. делать маленькое время жизни - постоянно запрашивать логин-пароль, большое - безопасность страдает. с jwt  проще, и сложнее, ибо два токена нужно  auth  и refresh... Ну и с куками  есть проблема с межсайтовостью.

нельзя просто так взять куку и отдать ее на соседний сервис, а токен - пожалуйста