Welcome to OGeek Q&A Community for programmer and developer-Open, Learning and Share
Welcome To Ask or Share your Answers For Others

Categories

0 votes
1.3k views
in Technique[技术] by (71.8m points)

springcloud 授权认证的问题?

在springcloud微服务架构中,用户的授权认证是统一在网关处做校验呢?还是每个微服务都要做校验处理。

看了网上的很多文章,一般都是用户请求时携带登录时生成的token,然后网关服务只对该请求判断有没有携带token,如果没有就提示登录,如果有就放行请求。然后请求的微服务又会获取token,拿到token后提交给认证服务中心做校验是否合法,如果合法就执行操作。

上面的认证流程是不是太多余了。为什么要在每个微服务中都要先去获取token值,然后通过认证中心校验该token?

我的理解:
在微服务架构中,用户请求一般最先进入到网关服务中,那么为什么不把登录认证和权限校验都放在网关一次做完呢?网关服务拿到token(token通过jwt框架生成,可以保存用户的相关信息)值,然后校验该token,如果合法就继续判断该用户是否有权限操作(可以解析token中用户的uid,然后调用数据库查询是否有该权限),有就直接放行。
这样不简单多了吗?


与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…
Welcome To Ask or Share your Answers For Others

1 Reply

0 votes
by (71.8m points)

我们之前做法是:
1、在网关处做token获取及校验,并将用户uid写入请求头。
2、其他服务不直接参与token相关内容,仅从请求头获取uid即可。
3、网关处不参与业务类权限等的校验。


与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…
OGeek|极客中国-欢迎来到极客的世界,一个免费开放的程序员编程交流平台!开放,进步,分享!让技术改变生活,让极客改变未来! Welcome to OGeek Q&A Community for programmer and developer-Open, Learning and Share
Click Here to Ask a Question

...