如果我的网关已经得到保护,为什么我必须保护我的资源服务?

【问题标题】:Why do i have to secure my Resource-Service if my Gateway is already secured?如果我的网关已经得到保护,为什么我必须保护我的资源服务?
【发布时间】:2021-04-23 00:40:55
【问题描述】:

我正在阅读有关如何使用令牌中继模式保护我的 Spring Cloud Gateway 的文章。

https://spring.io/blog/2019/08/16/securing-services-with-spring-cloud-gateway

https://static.spring.io/blog/bwilcock/20190801/demo.png

用户请求资源后,网关将他重定向到身份提供者的登录页面以进行身份​​验证。 成功后,身份提供者会将您重定向回原始请求的资源(网关),包括身份提供者提供的访问令牌。

所以现在网关是安全的。为什么资源服务器必须再次针对身份提供者验证访问令牌?网关不只是验证它吗? 或者不是,网关只是在那里将访问令牌中继到资源服务器,以便他可以验证它?

【问题讨论】:

    标签: java spring spring-security spring-security-oauth2 spring-cloud-gateway


    【解决方案1】:

    基本上从不信任 JWT。

    最后,资源服务器需要知道它在哪里可以找到公钥来验证它所获得的访问令牌的真实性。 UAA 提供了一个端点,资源服务器和网关在运行时都依赖该端点来执行此检查。端点在 application.yml 中为每个应用程序配置

    资源服务器永远不能 100% 确定访问令牌是由身份提供者创建的,甚至是来自网关的。所以至少,你应该确保访问令牌是由身份提供者使用公钥签名的,由配置的端点公开。

    【讨论】:

      猜你喜欢
      • 2020-09-28
      • 1970-01-01
      • 1970-01-01
      • 2016-09-02
      • 1970-01-01
      • 2020-07-25
      • 1970-01-01
      • 2015-09-05
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode