使用Spring
这是一个示例架构。
- 用户访问微服务" A"和" B"通过API网关
- API网关对所有请求进行身份验证
- spring-session将http会话复制到微服务" A"和" B"。
- 微服务" C"访问微服务" A",没有任何安全检查。
在浏览器和微服务之间提供授权检查的最佳方法是什么?解决方案需要解决微服务问题" C"没有关联的"会话" /角色。
具体做法是:
- 方法级别授权如何工作[即。 @PreAuthorize]当微服务" C"没有用户?
- 将所有授权检查放入API网关并且所有微服务间通信都不受保护是否有意义?
4 个答案:
答案 0 :(得分:1)
OAUTH2.0是最好的解决方案。
请找到教程列表
https://spring.io/guides/tutorials/spring-boot-oauth2/
https://projects.spring.io/spring-security-oauth/docs/oauth2.html
http://websystique.com/spring-security/secure-spring-rest-api-using-oauth2/
答案 1 :(得分:1)
只需要授权检查,而不是身份验证,因为不涉及最终用户,这是B2B案例。 在这种情况下,您需要使用客户端凭据OAuth2 流程。 您可以在http://proficientblog.com/microservices-security/
上找到有关它的更多详细信息答案 2 :(得分:0)
对于来自“C”的请求使用OAuth或JWT怎么样?服务A只需要另一个身份验证提供程序(我假设您已经有一个来自API网关的请求)来验证令牌。然后,可以包含权限或根据令牌中的其他信息提供信息以查找权限。这样就可以保留方法级别的auth注释。
答案 3 :(得分:0)
API网关可以使用httpsessionheaderStrategy在标头中设置x-auth-token。 然后,每个服务都可以使用GenericFilter根据场景设置身份验证上下文。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?