以下是一個示例體系結構。使用Spring的微服務授權
- 用戶經由API網關
- API網關進行認證的所有請求
- 彈簧會話複製http會話到微服務「A」和「B」訪問微服務「A」和「B」。
- 微服務「C」訪問微服務「A」,沒有任何安全檢查。
什麼是提供瀏覽器和微服務之間的授權檢查的最佳途徑?該解決方案需要解決微服務「C」沒有關聯的「會話」/角色。
具體來說:
- 如何能方法級授權工作[即。 @PreAuthorize]當微服務「C」沒有用戶?
- 將所有授權檢查放入API網關並將所有內部微服務通信置於無保護狀態是否有意義?
中找到更多詳細信息如何將令牌轉換爲可以通過@PreAuthorize驗證的角色/權限? –