前几篇说的都是基于session的SSO（客户端应用的session、认证服务器的session），客户端应用拿到认证服务器返回的token后，将其存在自己的session， 用户登录状态是存在服务器端的。 本篇要说的是，要实现一个基于浏览器cookie的SSO，客户端应用获取到令牌后，不是将其 ...

目前的架构 到目前为止，已经实现了在前后端分离的架构，微服务的环境下，一个完整的业务逻辑，包括用户的登录，获取令牌，拿着令牌调服务，退出。（流程如下） 目前的架构是基于oauth2的password模式的，是存在一些问题的： 1，用户输入用户名密码，是提交给了前端服务器的，前端 ...

这一节介绍，在认证服务器上使用spring session。 由于认证服务器肯定要是一个高可用状态，所以一定是一个集群，这就需要做session共享，最简单的实现就是使用spring session。 Spring Session官方文档 ：https ...

第1章 课程导学我们会对整个课程的内容做一个简要的介绍，包括章节的安排，使用的主要技术栈，实战案例的介绍以及前置知识的介绍等内容。第2章 环境搭建开发工具的介绍及安装，介绍项目代码结构并搭建，基本的依赖和参数设置。第3章 API安全我们从简单的API场景入手，讲述API安全相关的知识 ...

Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课程导学 Spring Cloud微服务安全实战- 2-1 环境安装 ...

getSession这个方法里面的逻辑，会根据传过来的cookie里面带的JSessionID在你的服务器上去找一个session，如果能找到，就用这个已经存在的session，这个getSession就返回这个已经存在的session吗，如果没有找到就创建一个新的session并返回 ...

API安全之授权 访问控制： 1，ACL ：Access Control Lists，直接给每个用户授权，他能访问什么。开发简单，但是用户多的话，给每个用户授权比较麻烦。 2，RBAC：Role Based Access Control。给角色授权，给用户赋予角色。授权简单 ...

到目前为止已经实现了一个基于OAuth2的认证和授权的流程（如下图），订单还是一个单一的节点，还没有进入到微服务的环境下。 实际场景下，类似订单服务的服务，可能有几十个，每个服务是一个集群，有几十个节点，如下图， 在这种场景下，当前微服务架构下的问题： 问题 ...