规则的持久化问题。现在的规则都是在内存里的，我们要写一些代码来编一些规则。启动以后规则在内存里了。如果你配置里面有sentinel的dashboard，有流量经过客户端的时候，它会把规则同步给Dashboard，同样的sentinel的dashboard页面上增加或者修改规则后。sentinel ...

一、通过OAuth2 Toke的Scope参数控制权限 1，在服务端认证服务器里，通过配置客户端的Scope，可以控制给这个客户端生成的token有哪些权限 2，在客户端，申请令牌的时候，可以指定scope 示例：在资源服务器 （nb-order-api）里，控制post ...

本篇解决一个问题，token有效期 token是一个短活的东西，session可能是3天，但是token可能就2个小时，此时就会出现一种情况，session还有效但是token失效了，此时再拿着这个token去调用其他微服务就会失败了。 这就涉及到了OAuth2协议中的Refresh ...

第1章 课程导学我们会对整个课程的内容做一个简要的介绍，包括章节的安排，使用的主要技术栈，实战案例的介绍以及前置知识的介绍等内容。第2章 环境搭建开发工具的介绍及安装，介绍项目代码结构并搭建，基本的依赖和参数设置。第3章 API安全我们从简单的API场景入手，讲述API安全相关的知识 ...

Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课程导学 Spring Cloud微服务安全实战- 2-1 环境安装 ...

access_token是客户端调用其他微服务调的凭证，access_token有效期不能太长（丢了风险很大），一般可以设置2小时，如果access_token失效了，就不能调用微服务了，上节说了access_token失效的处理---refresh_token来刷新令牌 ...

API安全之授权 访问控制： 1，ACL ：Access Control Lists，直接给每个用户授权，他能访问什么。开发简单，但是用户多的话，给每个用户授权比较麻烦。 2，RBAC：Role Based Access Control。给角色授权，给用户赋予角色。授权简单 ...

到目前为止已经实现了一个基于OAuth2的认证和授权的流程（如下图），订单还是一个单一的节点，还没有进入到微服务的环境下。 实际场景下，类似订单服务的服务，可能有几十个，每个服务是一个集群，有几十个节点，如下图， 在这种场景下，当前微服务架构下的问题： 问题 ...