我仍在学习微服务,我在问自己,我们如何确保我们的休息点?我使用从Spring扩展的着名框架Spring Boot。保护rest API端点的最佳或最常用模式是什么?
当我将Spring Security与oAuth2一起使用时,我总是需要在请求正文中发送凭据。有没有凭证的方法,哪个更容易实现?像API-Tokens一样?
我总是喜欢实用的教程。
答案 0 :(得分:1)
我可以建议查看Spring安全性及其提供的各种选项。 但是,如果您从微服务的角度来看,那么您就可以使用访问令牌并且正如JWT所建议的那样做得很好。 不能获得JWT,您可以使用说Pac4j或类似的工具选择其他小型身份验证服务。
我最初最喜欢使用keycloak 它是一个开源的IAM 您可以找到几个关于如何开始使用Keycloak和Spring启动的示例 但这是我写回来的one。
- 只是为微服务添加它,使用AccessTokens是有意义的,因为您不需要保留用户信用并将其传递给每个服务,并且服务可以自己验证令牌,而无需对您的身份验证服务进行昂贵的网络调用。
答案 1 :(得分:1)
我可以建议查看此示例(使用"服务器"范围):https://github.com/sqshq/PiggyMetrics以及更高级的配置:http://cloud.spring.io/spring-cloud-config/spring-cloud-config.html#_security