精选留言(11)

• 
  许凯

  2019-07-30

  又听完了，很有收获，想请问老师，有比较通用的资源权限设计和控制方式吗？

  作者回复: 目前开源的资源权限设计方案很多，可以在github/gitee上搜一大把。不过我觉得大都不是很通用，所以我自己正在设计开发一个，类似auth0的用户管理和身份认证/鉴权服务，开发完成会开源出来。

  

   9
• 
  Alex

  2019-08-05

  外网token内网jwt 的方式还会讲吗？

  作者回复: 外网token/内网jwt，这个是一种令牌实现方式，稍微有点复杂，中间涉及到令牌的存储和转化。本课程案例staffjoy，采用简单的jwt令牌，全程无状态，业务上安全性也足够。如果需要，在理解本课程案例代码的基础上，你不难扩展出外网token/内网jwt的方式，只不过需要存储token/jwt的映射关系，可存在DB或Cache中。

  

   2
• 
  澜柯

  2019-08-04

  老师好，网页端是可以使用cookie，app端如何设置cookie呢？

  作者回复: 你好，app如果是hybrid的，也可以考虑放cookie或者local storage；如果是纯native app，那么android/ios都有自己专门的本地存储机制，然后可以通过http header传递令牌。

  

   1
• 
  John

  2019-08-03

  我們知道 微服務壓力大的時候 我們可以多創建幾個來做load balance 但如果網關的壓力太大了 腫麼辦

  作者回复: 网关是无状态集群部署的，可以按需添加更多网关实例扩容应对更大流量。

  

   1
• 
  虎哥

  2019-08-01

  没有说SSO啊？

  作者回复: 上面讲Staffjoy安全认证架构设计中讲到SSO了，用户通过www服务登录，浏览器中就会种cookie，这个cookie种在根域上，例如，生产就是staffjoy.com，后面通过浏览器访问www.staffjoy.cpm或app.staffjoy.com或myaccount.staffjoy.com，只要是xxx.staffjoy.com都不需要再登录(除非jwt过期或者主动等出)，会自动登录，因为cookie会自动带上，网关截获cookie，校验里头的jwt，通过就可以访问。

  

   1
• 
  grey927

  2019-07-31

  如果没用feign作为客户端，而是用的原生resttemplate，要如何带着userid传到每个微服务呢？

  作者回复: resttemplate支持Interceptor机制动态添加http header的，可以参考：https://www.baeldung.com/spring-rest-template-interceptor

  

   1
• 
  永旭

  2019-07-31

  老师你好,
  之前做的项目 给予redis的session实现的, 没有种cookie的步骤, 也会存在cookie, 是springboot集成的容器给做的吗?
  能说明下这里为什么要自己实现种cookie呢 ?

  作者回复: spring(boot)提供支持集中式session的接口，可以对接redis等缓存，种cookie的动作spring(boot)框架内部已经实现。自己种cookie是为了灵活性，spring(boot)的security/session机制主要针对单块web应用，微服务+spa应用的场景比较复杂，自己处理安全和种cookie会更加灵活，实现也不复杂。

  

   1
• 
  Geek_booslink

  2019-09-21

  波波老师，请教一个问题，会员，管理员，分销商分别有对应的后台系统，在微服务架构中是否需要三个授权中心？如果是三个授权中心每个微服务通常会有公共字段 creat_by那这样的话就不统一了，是否需要加一个ladp模块呢？ 谢谢

  作者回复: 具体做法还是要看上下文，如果不同用户群在业务上是有关联的，可以通过角色区分，尽量建模成一个用户/授权中心，这时用户数据可以存ldap。如果不同用户群在业务上是不关联的，可以采用2个以上用户/授权中心(但也不能太多)分开管理，或者考虑采用支持多租户的用户/授权产品(比如fusionauth.io)，这类产品支持一个用户/授权中心，但是可以多租户支持不同用户群分开管理。

  

  
• 
  庄建斌

  2019-09-14

  jwt给的权限太高了，并且没法控制失效。。。一但被XSS攻击成功，后果就很严重了。

  作者回复: jwt如果放在localstorage中有被xss攻击可能，恶意js可以操作localstorage里头令牌。staffjoy的jwt是放在cookie中，而且是http only，js脚本无法操作。但是cookie有csrf(跨站点请求伪造)风险，对于雇员排班这类应用可以接受，如果是其它安全严格网站，需要增加csrf防护，一般web框架都有支持(例如spring security)。

  

  
• 
  赌神很低调

  2019-08-24

  Bobo老师好，请问可以不把 jwt放到cookie中吗，前端调用认证服务后直接把token放到header中，前端调用后端接口每次都在header中带上token，网关从 header中获取。前端用vue做的单页应用，感觉不需要cookie了。

  作者回复: jwt token可以不放cookie，可以放在header中传递，这个时候需要自己管理token在客户端的存储，然后程序要负责管理和传递token。

  

  
• 
  miki

  2019-08-06

  等更新等的好心焦

  作者回复: 课程更新由极客时间统一安排，学习不用一次学太多太快，保持适当节奏即可。预计8月底前会全部更新完，谢谢支持！

  

  