我们正在考虑无状态化，即使用jwts而不是会话。但是，使用oidc和Spring Security 似乎很棘手。一些博客文章，例如springlemon[1]，建议对spring的几个oidc类进行子类化，并在用户经过身份验证后使用过滤器来发布签名的jwt，但它们基于以前的旧版本 .oauth2ResourceServer() 在安全配置中成为可配置类。
今天，我们的用户正在使用oidc进行身份验证，但是我们也提供了一个api，因此我们也有api用户。在编写本文时，我们正在重写应用程序，使其变得更加宁静。更多的逻辑将放在前端，后端将只提供几个API。为了进一步简化模型，我们的想法是对api和oidc用户使用jwts而不是session。
最好的方法是什么？仍然为最终用户使用会话（并且只为api用户使用jwts），还是尝试为所有用户使用jwts构建无状态应用程序？Spring柠檬是正确的方法吗？我们也应该使用 oauth2ResourceServer 在我们用来验证jwts的config类中？
[1] Spring 柠檬：https://dzone.com/articles/spring-security-5-oauth-20-login-and-signup-in-stas