以下是一个示例体系结构。使用Spring的微服务授权
- 用户经由API网关
- API网关进行认证的所有请求
- 弹簧会话复制http会话到微服务“A”和“B”访问微服务“A”和“B”。
- 微服务“C”访问微服务“A”,没有任何安全检查。
什么是提供浏览器和微服务之间的授权检查的最佳途径?该解决方案需要解决微服务“C”没有关联的“会话”/角色。
具体来说:
- 如何能方法级授权工作[即。 @PreAuthorize]当微服务“C”没有用户?
- 将所有授权检查放入API网关并将所有内部微服务通信置于无保护状态是否有意义?
中找到更多详细信息如何将令牌转换为可以通过@PreAuthorize验证的角色/权限? –