我正在创建一个基于微服务架构的应用程序。前端是用 Angular 编写的,后端由一个 Spring Cloud Gateway、一个 Spring Boot 授权微服务(用户在 MongoDB 中)创建一个存储在 Redis 数据库中的会话、几个具有业务逻辑的 Spring Boot 微服务和一个数据库。我想知道我应该如何保护我的应用程序,以便一切都符合该技术堆栈中当前的安全趋势。
目前,每个微服务都可以访问 Redis 数据库,如果在那里找到用户会话,则返回数据。网关转发所有查询而不检查任何内容。我的安全基于会话 Cookie。一切正常,但我希望设计在架构上是正确的,我正在考虑进行更改。我正在考虑只在门口添加身份验证。
除了我提到的方法之外,你认为最好的方法是什么?我也在考虑会话 cookie 是否绝对是一个不错的选择。