• jeffery
    2021-01-31
    每章都干货👍多租户模式下怎么设置鉴权、etcd不知道后期会不会支持多数据中心!相比Nacos、怎么选型!谢谢老师

    作者回复: 感谢jeffery同学的高度认可,如果有收获可以分享给更多人,谢谢你的支持。多租户模式下,如果使用密码鉴权,你可以直接调用API给不同租户添加账号、密码,每个租户分配一个唯一的路径,然后按路径前缀分配权限。如果使用的证书鉴权,你可以为每个用户生成证书,证书的CN字段为用户的名称即可,建议使用证书鉴权。同时重要业务不建议多租户模式哈,多租户场景不同租户可能会相互影响,导致各种稳定性问题,除非各个租户的行为是可控的,可信赖的。etcd选型、多数据中心这些后面实践篇将为你分析。

    
    7
  • 云原生工程师
    2021-01-29
    密码鉴权简单易用,但是潜在隐患多,证书可能略麻烦,特别是多租户场景,每个用户证书都不一样,需要独立生成,总的而言,还是不能为一时方便偷懒选用密码

    作者回复: 是的

    
    6
  • 于途
    2021-02-03
    1)撞库:黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。说的简单一点,就是一个小偷,入室盗窃后偷到了一串钥匙,然后他拿着这串钥匙,在整个小区里面挨家挨户的进行开锁。这个过程就是撞库。 2)漏水:某些企业自身出现风险导致的数据泄露。 3)拖库:指网站遭到黑客入侵后,数据库被窃取(黑客将数据库导出至本地)。 4)洗库:指黑客入侵网站后,通过技术手段将有价值的用户数据归纳分析,售卖变现的过程。简单而言,洗库就是黑客拖库后进一步牟利的手段。

    作者回复: 赞

    
    5
  • 吴展
    2021-09-21
    使用证书认证就不需要token了?

    作者回复: 是的。

    
    1
  • 小丢👣
    2021-08-22
    证书认证也有过期时间,有企业k8s应用中,一个证书(可能是超级证书)可能被很多调用方共享使用,为了减少证书变更带来下游调用方同步变更成本,通常会把证书过期时间设成10年甚至更久。不知道这样的设置是否合理?(以上场景是个人理解,不确保是否和我描述的一样)

    作者回复: 嗯,一般都5到20年,过短导致证书过期影响生产环境可用性,过长要注意证书安全性,不要泄露到github,并且有吊销机制,比如etcd中取证书的cn作为user name,如果证书泄露了,可以删除etcd中对应user权限

    
    
  • 石小
    2021-02-18
    老师过年好,使用jwt token如果server不保存用户名,client 发来的用户名和签名若经过篡改的,服务器怎么知道呢?

    作者回复: 新年好,token是server使用RSA等签名算法对包含用户名、版本号等payload加密后的结果,server收到后会校验token有效性,因此只要你RSA等签名算法私钥不泄露,安全性就是有保障的。

    
    
  • kaizen
    2021-02-06
    老师,这里给范围 key 加权限用的[],我看官方文档给的 [ ),是两种都适用吗 The range can be specified as an interval [start-key, end-key) where start-key should be lexically less than end-key in an alphabetical manner.

    作者回复: 嗯,细心,是),感谢反馈,已修正

    
    
  • Simon
    2021-02-01
    老师, 上一节的思考题答案还没有更新吗?

    作者回复: 好的,明天更新到05

    
    
  • 唐聪
    2021-01-29
    本讲是一个微型鉴权系统设计与实现分析,曾遇到好几次业务使用密码鉴权出现问题的,原因就在于大家对密码鉴权、适用场景,了解太少导致线上出问题,希望通过本讲帮助大家搞清楚etcd鉴权的一切
    
    17
  • types
    2021-09-01
    认证流程在Raft之前,鉴权流程在Raft之后,请问是什么考虑? 鉴权失败后,Raft中的日志条目是否要特殊处理?
    共 1 条评论
    3