摘要:
这一章来讲一下,微服务之间的通讯安全。 当前这个架构还存在的问题 在网关上做限流还是有一些问题的。例如我的订单服务限流是100,库存服务限流也是100。但是我的订单服务会调用我的库存服务。那么在网关这,给订单转100个请求,库存转100个请求,最后订单又调了库存,库存会同时受到200个请求。这时候库 阅读全文
摘要:
我只要把这个meFilter放在AuthorizationFilter后面就可以了。 authorizationFilter的排序是3 MeFilter设置为4 就可以了。 拿到了username直接返回回来 启动服务测试 启动网关 认证 现在在服务器的session上不再存任何东西了 首先登陆 一 阅读全文
摘要:
基于服务器session的SSO的方案,用户的登陆状态都是存在服务器端的 基于浏览器cookie的token实现一个sso,在原来的基础上做进一步的改造。让他不依赖session。而是完全由cookie里的token来决定。 给前端颁发token的时候不是写在前端的session中,而是cookie 阅读全文
摘要:
refresh_token过期了怎么办,虽然可以设置一个比较长的有效期,但是终归还是要过期的。 只能从认证服务器重新走认证授权的流程。 两种情况 1,session还没过期的,跳过去之后,直接就知道你是谁,生成一个令牌返回给你 2.session也过期了,重新输用户名密码登陆 也可以去控制,一旦re 阅读全文
摘要:
token的有效期 会出现一种情况session有效期还没到。但是token过期了。 用户登陆着,但是token失效了 没法访问服务了。 刷新令牌要和clientId和ClientSecret一起用,发请求才有效。 那么刷新令牌在哪里?在数据库内 我们从来没有配置这个字段。 refresh_toke 阅读全文
摘要:
认证服务器 session的有效期。 也就是认证服务器上的session的有效期 生成环境下,认证服务器一定是一个集群。集群。那么session一定是要在所有的服务器之间进行共享的。最简单的方式是用Spring Session来实现。 session共享 在认证服务器的pom.xml加一个依赖。 用 阅读全文
摘要:
授权模式改造成了Authorization code完成了改造的同时也实现了SSO。微服务环境下的前后端分离的单点登陆。 把admin的服务重启。刷新页面 并没有让我去登陆,直接就进入了首页。 order的API控制台 只要你在认证服务器上的session没过期。认证服务器就知道你是谁,他就不会让你 阅读全文