Category: Authorization

[汇总]关于JWT扩展思考 0

[汇总]关于JWT扩展思考

如果accessToken放Client端,refreshToken存储在服务器,那么会违背微服务的无状态构架初衷。 accessToken和refreshToken统一放在Client端,可以遵循微服务无状态构架。 两种情况都可以通过accessToken来延长refreshToken,做到长时间保持登录状态的需求。

[转]如何设计权限管理模块 0

[转]如何设计权限管理模块

我们比较常见的就是基于角色的访问控制,用户通过角色与权限进行关联。简单地说,一个用户拥有多个角色,一个角色拥有多个权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间、角色与权限之间,通常都是多对多的关系。如下图:

[转]如何在微服务架构中实现安全性? 0

[转]如何在微服务架构中实现安全性?

网络安全已成为每个企业都面临的关键问题。几乎每天都有关于黑客如何窃取公司数据的头条新闻。为了开发安全的软件并远离头条新闻,企业需要解决各种安全问题,包括硬件的物理安全性、传输和静态数据加密、身份验证、访问授权以及修补软件漏洞的策略,等等。无论你使用的是单体还是微服务架构,大多数问题都是相同的。本文重点介绍微服务架构如何影响应用程序级别的安全性。

[汇总]Spring Security和OAuth2 0

[汇总]Spring Security和OAuth2

Spring boot使用Spring Security和OAuth2保护REST接口 Spring Security 最佳实践 Spring Security简介 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 访问页面 自定义用户名和密码 UserDetailsService详解 PasswordEncoder密码解析器详解 登录配置 角色权限 403 权限不足页面处理 RememberMe(记住我) Spring Security 注解 Spring Security中CSRF 什么是CSRF?    

Client credentials with JWT sequence 0

[总结]微服务认证鉴权与API权限控制

从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?