Я встречал по сабжу несколько статей, например вот
от ведущего JAVA-разработчика из Рязани 26 лет, или вот
от магистра компьютерных наук с десятилетним опыто..., ну и
с хабра немножко, а так же разные другие. Все их объединяет примерно одно - в коментах находятся люди, которые говорят, что это колхоз и так делать не надо. Из более-менее похожего на "официальную" рекомендацию,
вот это.
Последняя ссылка выглядит так, что кажется придется сперва до косточек разобраться с устройством Spring Security, парочкой протоколов вроде OAuth2 и OpenID, а потом уже "и поиграть можно" (как в южном парке, серия про варкрафт). Только когда я с этим разберусь, думаю мне уже статья не пригодится. А хотелось бы все-таки начать с чего-то обзорного, и при этом более-менее каноничного, т.е. с хорошими практиками, а не лишь бы работало.
Простой
