Category: MS Security & Authorization
[汇总]关于JWT扩展思考
如果accessToken放Client端,refreshToken存储在服务器,那么会违背微服务的无状态构架初衷。 accessToken和refreshToken统一放在Client端,可以遵循微服务无状态构架。 两种情况都可以通过accessToken来延长refreshToken,做到长时间保持登录状态的需求。
[汇总]登录验证经验
前后端接口鉴权全解 Cookie/Session/Token 的区别 瞬间几千次的重复提交token,我用 SpringBoot+Redis 扛住了 不就是个短信登录API嘛,有这么复杂吗? SpringBoot Security 并发登录人数控制 一文搞懂主流的扫码登录技术原理 从SpringMVC获取用户信息谈起 SpringBoot 整合 Shiro 实现动态权限加载更新+ Session 共享 + 单点登录 公司系统太多,能不能实现账号互通? RBAC 权限系统设计SpringSecurity
[转]如何设计权限管理模块
我们比较常见的就是基于角色的访问控制,用户通过角色与权限进行关联。简单地说,一个用户拥有多个角色,一个角色拥有多个权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间、角色与权限之间,通常都是多对多的关系。如下图:
[转]如何在微服务架构中实现安全性?
网络安全已成为每个企业都面临的关键问题。几乎每天都有关于黑客如何窃取公司数据的头条新闻。为了开发安全的软件并远离头条新闻,企业需要解决各种安全问题,包括硬件的物理安全性、传输和静态数据加密、身份验证、访问授权以及修补软件漏洞的策略,等等。无论你使用的是单体还是微服务架构,大多数问题都是相同的。本文重点介绍微服务架构如何影响应用程序级别的安全性。
[汇总]Spring Security和OAuth2
Spring boot使用Spring Security和OAuth2保护REST接口 Spring Security 最佳实践 Spring Security简介 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 访问页面 自定义用户名和密码 UserDetailsService详解 PasswordEncoder密码解析器详解 登录配置 角色权限 403 权限不足页面处理 RememberMe(记住我) Spring Security 注解 Spring Security中CSRF 什么是CSRF?
[总结]微服务认证鉴权与API权限控制
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?
[转]单点登录原理与实现
1. 一、单系统登录机制 1-1. 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系
[转]单点登录怎么实现
一、单点登录简介 假设一个场景:公司内部有财务、OA、订单服务等各类相互独立的应用系统,员工张三对这些系统有操作权限,如果张三想要登录某个系统进行业务操作,那么他需要输入相应的账号与密码。想象一下,当公司内部有 100 个应用系统,张三是不是要输入 100 次用户名和密码进行登录,然后分别才能进行业务操作呢?显然这是很不好的体验,因此我们需要引入一个这样的机制:张三只要输入一次用户名和密码登录,成功登录后,他就可以访问财务系统、OA 系统、订单服务等系统。这就是单点登录。