RBAC(role-base access control) -基于角色的访问控制。其意思简单概括为权限与角色相关。因此会衍生出两种权限校验,一种是认证-你能不能进来 ,一种是鉴权-你进来干什么。
jwt(json web token)-服务端颁发给客户端,用来做身份认证的令牌。他可以携带一些不敏感的用户信息.jwt由header【声明类型和加密算法】、payload【用户信息】、signature【加盐,用于验证信息】
使用io.jsonwebtoken包解决token生成,校验,失效。
使用spring-security解决认证与鉴权。
使用配置中心统一token配置。如失效时间,秘钥。
前端使用localStorage储存token。
以往总是使用表单校验-即你用户信息传过来,我就校验你用户信息对不对。但在微服务环境下,所有请求都要走一遍校验就显得费劲了,而token,你只要带上它就可以了,通过加密方式也使得token的安全性有了一定的保障,目前唯一的问题还是在于token盗用。所以使用token,它的生效时间最好短一点。
再如像单点登入,其实单点不单点无所谓,你再加一个认证中心服务,请求发送前都走一道认证中心就好了,只是有点没必要而已。
peace and love
页面更新:2024-04-14
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号