• 许凯
    2019-07-30
    又听完了,很有收获,想请问老师,有比较通用的资源权限设计和控制方式吗?

    作者回复: 目前开源的资源权限设计方案很多,可以在github/gitee上搜一大把。不过我觉得大都不是很通用,所以我自己正在设计开发一个,类似auth0的用户管理和身份认证/鉴权服务,开发完成会开源出来。

    
     11
  • Alex
    2019-08-05
    外网token内网jwt 的方式还会讲吗?

    作者回复: 外网token/内网jwt,这个是一种令牌实现方式,稍微有点复杂,中间涉及到令牌的存储和转化。本课程案例staffjoy,采用简单的jwt令牌,全程无状态,业务上安全性也足够。如果需要,在理解本课程案例代码的基础上,你不难扩展出外网token/内网jwt的方式,只不过需要存储token/jwt的映射关系,可存在DB或Cache中。

    
     2
  • 澜柯
    2019-08-04
    老师好,网页端是可以使用cookie,app端如何设置cookie呢?

    作者回复: 你好,app如果是hybrid的,也可以考虑放cookie或者local storage;如果是纯native app,那么android/ios都有自己专门的本地存储机制,然后可以通过http header传递令牌。

    
     1
  • John
    2019-08-03
    我們知道 微服務壓力大的時候 我們可以多創建幾個來做load balance 但如果網關的壓力太大了 腫麼辦

    作者回复: 网关是无状态集群部署的,可以按需添加更多网关实例扩容应对更大流量。

    
     1
  • 虎哥
    2019-08-01
    没有说SSO啊?

    作者回复: 上面讲Staffjoy安全认证架构设计中讲到SSO了,用户通过www服务登录,浏览器中就会种cookie,这个cookie种在根域上,例如,生产就是staffjoy.com,后面通过浏览器访问www.staffjoy.cpm或app.staffjoy.com或myaccount.staffjoy.com,只要是xxx.staffjoy.com都不需要再登录(除非jwt过期或者主动等出),会自动登录,因为cookie会自动带上,网关截获cookie,校验里头的jwt,通过就可以访问。

    
     1
  • grey927
    2019-07-31
    如果没用feign作为客户端,而是用的原生resttemplate,要如何带着userid传到每个微服务呢?

    作者回复: resttemplate支持Interceptor机制动态添加http header的,可以参考:https://www.baeldung.com/spring-rest-template-interceptor

    
     1
  • 永旭
    2019-07-31
    老师你好,
    之前做的项目 给予redis的session实现的, 没有种cookie的步骤, 也会存在cookie, 是springboot集成的容器给做的吗?
    能说明下这里为什么要自己实现种cookie呢 ?

    作者回复: spring(boot)提供支持集中式session的接口,可以对接redis等缓存,种cookie的动作spring(boot)框架内部已经实现。自己种cookie是为了灵活性,spring(boot)的security/session机制主要针对单块web应用,微服务+spa应用的场景比较复杂,自己处理安全和种cookie会更加灵活,实现也不复杂。

    
     1
  • Geek_booslink
    2019-09-21
    波波老师,请教一个问题,会员,管理员,分销商分别有对应的后台系统,在微服务架构中是否需要三个授权中心?如果是三个授权中心每个微服务通常会有公共字段 creat_by那这样的话就不统一了,是否需要加一个ladp模块呢? 谢谢

    作者回复: 具体做法还是要看上下文,如果不同用户群在业务上是有关联的,可以通过角色区分,尽量建模成一个用户/授权中心,这时用户数据可以存ldap。如果不同用户群在业务上是不关联的,可以采用2个以上用户/授权中心(但也不能太多)分开管理,或者考虑采用支持多租户的用户/授权产品(比如fusionauth.io),这类产品支持一个用户/授权中心,但是可以多租户支持不同用户群分开管理。

    
    
  • 庄建斌
    2019-09-14
    jwt给的权限太高了,并且没法控制失效。。。一但被XSS攻击成功,后果就很严重了。

    作者回复: jwt如果放在localstorage中有被xss攻击可能,恶意js可以操作localstorage里头令牌。staffjoy的jwt是放在cookie中,而且是http only,js脚本无法操作。但是cookie有csrf(跨站点请求伪造)风险,对于雇员排班这类应用可以接受,如果是其它安全严格网站,需要增加csrf防护,一般web框架都有支持(例如spring security)。

    
    
  • 赌神很低调
    2019-08-24
    Bobo老师好,请问可以不把 jwt放到cookie中吗,前端调用认证服务后直接把token放到header中,前端调用后端接口每次都在header中带上token,网关从 header中获取。前端用vue做的单页应用,感觉不需要cookie了。

    作者回复: jwt token可以不放cookie,可以放在header中传递,这个时候需要自己管理token在客户端的存储,然后程序要负责管理和传递token。

    
    
  • miki
    2019-08-06
    等更新等的好心焦

    作者回复: 课程更新由极客时间统一安排,学习不用一次学太多太快,保持适当节奏即可。预计8月底前会全部更新完,谢谢支持!

    
    
我们在线,来聊聊吧