• dyzhs 浏览»

    每引入一个组件会带来多少的额外负担?是不是也要考虑组件本身的稳定性、扩展性?

  • dyzhs 浏览»

    果然被嘲讽了,印证了梦

  • jianzh5 浏览»

    都2020年了还rabbit????

  • dyzhs 浏览»

    试试rabbit?

  • jianzh5 浏览»

    如果只在网关层加验证的话我们叫内部裸奔法,没有任何安全认证。所以这里在微服务层也加了一个!

  • yp 浏览»

    架构图看着提一个疑问 为啥具体服务还需要去认证服务器验证一次, 网关的作用仅仅是API聚合和下发token?

    如果在网关已经验证通过 其实服务只需要验证请求是否是从网关过来的就可以了

  • jianzh5 浏览»

    感谢回复哈,会不断的优化重构的!

  • jianzh5 浏览»

    嗯嗯,后面也会换成jwt的

  • lizhongyue248 浏览»

    指出几个问题哈:

    ReactiveJdbcAuthenticationManager 感觉是多此一举,spring-security-oauth2-resource-server 的自动化配置一点没用上,这里全靠手动装配。

    另外在 spring cloud 的情况下,不可能让你直接操作 TokenStore的。授权模块的东西,直接在这里用是完全不合适的。如果每个oauth2资源服务器都这样会有很大的问题。现在要不用 jwt 私钥解密,要不用 opaqueToken 方式进行校验。所以在 spring security 5.2 以后,官方也都提供了这两种方式的支持。

  • jianzh5 浏览»

    哈哈,1块钱买不了上当买不了吃亏!