我正在使用Zuul作为API网关开发基于微服务的应用程序,但是我对安全系统有一些担忧。
目前,我在zuul网关的前面使用Spring Security开发了一层安全性。这意味着后面的每个微服务都没有身份验证/授权逻辑,因为它是在zuul级别执行的。
用户基本上将其凭据提供给身份验证服务,该服务生成并向客户端返回访问令牌和刷新令牌。
对于微服务公开的对受保护API的每个后续请求,客户端都会发送访问令牌,如果验证通过,则允许访问。
只要访问令牌过期,客户端就会使用刷新令牌来获取新的访问令牌。
我的问题是在客户端存储这些令牌的位置。我之所以考虑将访问令牌存储在内存中,是因为它的持续时间非常有限(10分钟),并且刷新令牌位于受CSRF保护的httponly cookie中。
另一个问题是可以从移动应用程序和网站访问相同的资源。据我所知,不需要针对CSRF保护移动设备。
您将如何处理这种情况?这些令牌应如何在客户端进行管理?