1、使用JWT来解决认证中存在的问题 　　之前说认证中存在的问题是效率低，每次都要取认证服务器进行校验；不安全，传递用户信息是放到请求头中的明文。这两个问题的解决方案就是JWT。JWT官网扫盲连接https://jwt.io/introduction/。 　　因为我们之前发出去的令牌都是 ...

1、Sentinel注解支持 　　在学习熔断降级之前，我们先来看一下Sentinel的注解支持，我们使用spring-cloud-starter-alibaba-sentinel依赖，无需额外配置 ...

规则持久化 　　现在我们配置的规则实际上是在内存中的，如果客户端应用配置中有控制台(dashboard),当流量经过客户端的时候，会把规则同步给控制台；同样当在控制台配置规则后，也会把规则推送给相应的客户端。规则都是存放在两边的内存中，一旦控制台或客户端重启，内存中的规则就消失了。如下图 ...

到目前为止已经实现了一个基于微服务的，前后端分离（这里我用的jquery做的，并不是真的前后端分离，因为我不会vue和angular所以没用）的架构。在网关上做了限流、认证、审计、授权等安全机制，在前端应用上也做了SSO单点登录， 现在的架构存在的问题是： 1，在网关做限流 ...

授权，权限的控制 令牌里的scope包含fly就有权限访问。根据Oauth的scope来做权限控制， 要让@PreAuthorize生效，就要在启动类里面写一个注解。 里面有一个属性叫做，就是在方法的执行之后可以用注解来插入一些方法安全的相关的一些表达式 ...

上一篇说了认证，通过令牌可以知道当前用户是谁，并把令牌信息从网关到微服务，以及微服务与微服务之间传递用户上下文的信息，这一篇来聊一下授权。 一、最简单的情况ACL权限控制 用户有哪些权限直接在scope里写着，只要在程序里判断一下要访问某个方法，是否有访问权限就可以了这种适用于权限简单的场景 ...

1、热点参数限流 1.1、何为热点？热点即经常访问的数据。很多时候我们希望统计某个热点数据中访问频次最高的 Top K 数据，并对其访问进行限制。比如： a、商品 ID 为参数，统计一段时间内最 ...

　　目前为止，我们已经实现了一个基于微服务，前后端分离的架构(前端服务使用SpringBoot模拟)，如上图；并且在网关上做了限流、认证、审计、授权等安全机制；在前端做了SSO单点登陆。 但是目前的架构还是有一些问题的： 1、限流： 　　在前面网管安全我们也说过网关上不要做 ...