2018-07-25老师可不可以加下微信,想请教一些微服务搭建生产级的问题,评论太散,不太方便。我的邮箱:18217267935@163.com作者回复: 我微信号bulldog2015,加微信注明来自己极客时间,欢迎交流
3
2018-09-15terasoluna是日本NTT DATA公司的开源的一个框架,terasoluna是产品名称,不是公司名称作者回复: 恩是的,谢谢指正🌹
1- 2019-11-08看到这个作者回复率, 感觉这个课程没有买错🙃
作者回复: 本课程是目前最全面的讲解微服务基础架构体系和中间件实践的课程。
2019-06-01杨波老师,我现在的场景是:
1、需要提供单点登录(SSO),涉及系统有app,Web应用,传统的Client Sserver应用
2、需要把系统的一部分服务通过API的形式开放给第三方应用调用,对这些API调用需要进行授权
请问有什么好建议么?作者回复: 这是一整套登录认证体系,完全实现还是比较复杂的,是我计划下次课程要输出的内容。实现这样一套完整体系的关键需要三个组件:包括账户服务,oauth/oidc令牌服务和网关,内容较多不方便直接回复,不过我可以给你两个项目作为参考,一个是fusionauth(https://fusionauth.io/),类似auth2/okta的一整套登录认证平台,它里头集成有账户权限服务和oauth/oidc服务,免费但是不开源。另外一个是微软开源的eShopOnContainers(https://github.com/dotnet-architecture/eShopOnContainers)微服务演示案例,登录认证体系基于IdentityServer(一个基于.netcore的oauth2/openid connect实现,其中有演示app/web/单页等登录场景。消化吸收这些项目,应该可以给你提供相关设计思路,如需进一步交流,可以加我微信群(bulldog2015,加群说明来自极客时间)。
2019-02-14想请问老师,有提到不同用户做判断然后进行不同方式的授权,那这个判断一般是根据什么呢?从不同用户来报中的参数进行判断吗?如果这么做的话不是也可以通过这个接口来仿造令牌进行攻击呢?作者回复: 你好,通过令牌可以做权限校验。通过OAuth2服务器的令牌校验端点,资源服务器(或网关集中)可以获取该令牌所有者的具体角色和权限信息(如果是JWT令牌的话,角色和权限信息可以是自包含在令牌中的),资源服务器获取角色和权限信息后就可以做相应的权限判断。每个用户的具体角色和权限一般由企业内部维护,并且和OAuth2服务器可以集成。因为一般令牌需要集中校验(JWT令牌可以自校验),所以一般无法伪造,也就无法仿造令牌进行攻击。