在RESTSpring Boot中对用户进行授权和认证的最佳实践是什么？

我正在使用标准页面+ REST
API移动构建Web应用程序。我看了许多有关Spring安全性的文章，基本上，大多数文章都采用了某种允许或阻止REST调用的fitler方法。但是，就我而言，我有一些基于用户身份的身份验证逻辑。例如，有一个/update更新用户信息的API，用户可以更新自己，但不能更新其他人。最初我想使用下一个身份验证模式：

• 用户调用auth API并传递名称/密码或cookie
• 系统生成寿命短的令牌，并将其保存在数据库中。
• 用户获得此令牌，更新其cookie（以便Web应用程序中的JS可以读取和使用它）
• 当进行REST调用时，将传递cookie。在Controller处，提取令牌，检查是否到期，对数据库进行查询以验证令牌并获取用户ID。
• 根据用户ID，将允许或阻止REST。

这是实施的正确方法吗？阅读了有关Spring
Boot安全性的文章后，我的头大乱糟糟。至少：会话身份验证对我不起作用（REST是无状态的）。我想在不存储登录名/密码的情况下对移动设备进行身份验证。

在REST主体本身中传递此令牌是否有意义？如果是GET方法怎么办？

非常感谢您分享您的知识。