在微服务架构中,如果忽略服务的安全性，任由接口暴露在网络中，一旦遭受攻击后果是不可想象的、 保护微服务键安全的常见方案有：1.JWT令牌（token） 2.双向SSL 3.OAuth 2.0 等 ...

1、什么是API? 百度百科给出的定义如下： 　　API（Application Programming Interface，应用程序接口）是一些预先定义的函数，或指软件系统不同组成部分衔接的约 ...

1、修改项目使其基于浏览器cookie的SSO 1.1、修改回调方法，获得到token后，由存放到session改为存放到cookie 1.2、写一个CookieTokenFilte ...

1、OAuth2四种模式 1.1、密码模式 　　这也是我们之前一直使用的模式，流程如下；这种模式下，用户敏感信息直接泄漏给了客户端应用，因此这种模式只能用于客户端应用是我们自己开发的。因此密码模 ...

1、Metrics类型 prometheus中定义了四种metrics类型： 1.1、Counter：只增不减的计数器，其值只能在重新启动时递增或重置为零。例如，可以使用计数器表示已服务的请求数 ...

1、什么是注入攻击 　　使用了用户输入的但是我们没有校验过的数据，来拼装一个可以行的指令，交给系统去执行，结果导致执行了我们不希望发生的命令。注入攻击用很多种，最常见的是SQL注入。 2、SQL ...

1、前后端分离架构 　　1.1、前后端半分离 　　工作流程大致是，访问html页面，加载css、js等静态资源，加载到浏览器时，js会发送一些ajax请求由nginx转发到后端服务器，后端 ...

上节我们使用JWT优化了认证机制，通过令牌可以解析出当前用户是谁，并且这个令牌可以在网关到微服务，微服务和微服务之间传递，现在我们来看一下权限的控制 1、简单的ACL控制 最简单的情况就是AC ...

1、为什么要做数据校验 　　要保证系统的安全性，健壮性，数据校验必不可少，校验参数的合法性，不能因为前端或者其它调用段因为参数传的不对导致我们的系统报错。 2、开发中参数校验做在哪里 　　一 ...

　　目前为止，我们已经实现了一个基于微服务，前后端分离的架构(前端服务使用SpringBoot模拟)，如上图；并且在网关上做了限流、认证、审计、授权等安全机制；在前端做了SSO单点登陆。 ...