上一篇说了认证，通过令牌可以知道当前用户是谁，并把令牌信息从网关到微服务，以及微服务与微服务之间传递用户上下文的信息，这一篇来聊一下授权。 一、最简单的情况ACL权限控制 用户有哪些权限直接在scope里写着，只要在程序里判断一下要访问某个方法，是否有访问权限就可以了这种适用于权限简单的场景 ...

创建一个新的maveb项目，做一个admin的管理界面 用angular写前面的页面。 先把dependcency引用引进来。 前端的插件能帮我在springboot里面搭建出一个nodeJS的 ...

限流的改造。 同样注意，不要声明成Spring的Bean 在上面声明Rateliiter 如果能获取到权限继续往下走，没权限就返回，to many request的错误信息。 加到过滤器链上 加载Spring Scurity过滤器链的第一个过滤器之前。 启动网关，测试 ...

网关上认证去做哪些改造 在网关上用jwt去解析用户信息，而不再发送校验令牌的请求了。 之前的时候网关上实际上写了很多的代码 包括认证，发check_token去把token请求，换成用户信息。 这俩是审计日志和授权。 自己写了个MeFilter获取用户的信息 限流 filter都删掉 ...

一 、认证服务器上发Token的改造：uuid字符串改造为JWT 之前生成的token都是一个无意义的字符串uuid，也存在着上一篇 https://www.cnblogs.com/lihaoyang/p/12203586.html 所说的几个问题。本篇就要把token改造成JWT。 在认证 ...

在网关上所做的这些去认证服务器验令牌信息，转换为用户信息，去认证服务器做权限的判断，这些其实Spring ...

首先来解决认证的问题。 1.效率低，每次认证都要去认证服务器调一次服务。 2.传递用户身份，在请求头里面， 3.服务之间传递请求头比较麻烦。 jwt令牌。 spring提供了工具，帮你在微服务之间传递令牌。让你不用去写额外的代码 服务器端的改造 看一下认证服务器配置的这个类。这里有 ...

在代码里，我们没有认证或者授权的filter。认证和授权的工作现在基本上完全由Spring Security的过滤器接管了。 本节就来看下 如何在Spring Security的过滤器链上加入我们自己的逻辑，因为现在这个过滤器链上只处理了认证和授权。我们还有其他的一些安全机制，比如说限流、日志 ...