Можете рассказать о механизме аутентификации и авторизации, который использовался в вашем последнем проекте?

В моём последнем Java-проекте использовалась классическая схема аутентификации и авторизации с использованием JWT (JSON Web Token).

1. Пользователь вводит логин и пароль.
2. Сервер проверяет данные, и если они верны, генерирует JWT с информацией о пользователе и сроком действия.
3. Клиент сохраняет токен и при последующих запросах передаёт его в заголовке Authorization.
4. Сервер проверяет валидность токена и права доступа к ресурсам.

Это позволяет отделить аутентификацию от состояния сессии и масштабировать приложение.

Пример проверки токена с использованием библиотеки jjwt:

Claims claims = Jwts.parser()
    .setSigningKey(secretKey)
    .parseClaimsJws(token)
    .getBody();
String username = claims.getSubject();

Таким образом, аутентификация — это проверка личности пользователя, а авторизация — проверка его прав на выполнение действий.