Спасибо за совет. Нашел решение действительно там)
Но возникла проблема уже на этапе реализации и она скорее всего связана с матчастью oauth2, но чет быстро решение не нашел. Может тоже кто-то подскажет?
Суть:
К API передается выданный Access token в заголовке Authentication: Bearer. Spirng Security его ловит и идет его проверять. В заголовке Access Token указаны следующие данные:
{
"alg": "RS256",
"kid": "example"
}
Интересует конкретно значение kid (key ID). Это значение для всех токенов одинаковое приходит и при обращении на JWKS URI для проверки такого значения не находит в списке выданных токенов. Решил глянуть как идет проверка токена при стандартном authorization_code доступе и увидел, что там проверяется не Access Token, а IdToken и в нем уже значение поля kid имеет правильное значение (т. е. header в access token и idToken разный), которое есть на JWKS URI.
Так вот собственно и вопрос, что я делаю не так? Как с помощью Access Token переданного spring security осуществить проверку выданного токена? Врядли же это косяк oauth2 сервера и просто я, затупок, делаю что-то не так.
Пробовал на всякий случай закинуть в Bearer не Access Token, а IdToken, но при разборе получил ошибку (естесственно).
Я видимо все таки неправильно настроил spring security (указал issuer uri и добавил авторизацию resource server) и мне что-то надо добавить, но пока не смог раскопать что. Никто сходу не может тыкнуть меня в то, где я не прав?