cors - 跨域資源共享
springsecurity - 服務安全
組成作用
內容示例
header(頭)
記錄令牌型別、簽名的演算法等
payload(有效載荷)
攜帶一些使用者資訊
signature(簽名)
防止token被篡改、確保安全性
計算出來的簽名,乙個字串
token = base64(header).base64(payload).base64(signature)
signature = header指定的簽名演算法(base64(header).base64(payload), 秘鑰)
跨域資源共享(cors),亦譯為跨域資源共享,是乙份瀏覽器技術的規範,提供了 web 服務從不同網域傳來沙盒指令碼的方法,以避開瀏覽器的同源策略,是 jsonp 模式的現代版。與 jsonp 不同,cors 除了 get 請求方法以外也支援其他的 http 請求。用 cors 可以讓網頁設計師用一般的 xmlhttprequest,這種方式的錯誤處理比 jsonp 要來的好。另一方面,jsonp 可以在不支援 cors 的老舊瀏覽器上運作。現代的瀏覽器都支援 cors。簡單來說即:
瀏覽器將 cors 請求分成兩類:簡單請求(****** request)和非簡單請求(not-so-****** request)。
簡單請求一般包括下面兩種情況:
情況描述
請求方法
請求方法為:head 或 get 或 post;
http 頭資訊
spring security是為基於spring的應用程式提供宣告式安全保護的安全性框架,它能夠在web請求級別和方法呼叫級別處理身份認證和授權。由於是基於spring框架,它充分地利用了依賴注入和面向切面技術。spring security的最初版本就不在這裡介紹了,從最新版本3.2說起:(但是大家也別忘記喲,spring security的最初版本名叫acegi security),spring security從兩個角度來解決安全性問題,它使用servlet規範中的filter保護web請求並限制url級別的訪問,通過spring aop保護方法呼叫應用程式的兩個主要區域是認證和授權(訪問控制)。這兩個主要區域是spring security的兩個目標。
認證,是建立乙個他宣告的主體的過程(乙個主體一般是指使用者,裝置或一些可以在你的應用程式中執行的其他系統)。
授權,是指確定乙個主體是否允許在你的應用程式執行乙個動作的過程。為了抵達需要授權的點,主體的身份已經有認證過程建立。–
end– 微服務概覽與治理
微服務設計 grpc 服務發現 通過微服務架構,軟體開發過程能夠得到改善,開發效率能夠得到提高,從而創造更為優秀的產品和使用者滿意度。所謂微服務 microservice 就是一些具有足夠小的粒度 能夠相互協作且自治的服務體系。治理去中心化技術去中心化跨橫切面的功能,需要協調更新框架公升級發版 路由...
微服務通過Feign呼叫進行密碼安全認證
在專案中,微服務之間的通訊也是通過feign 的http客戶端通訊,為了保護我們的業務微服務不被其他非法未經允許的服務呼叫,我們要進行訪問授權配置 feign是客戶端配置,feignclient註解有個configuation屬性,可以配置我們自定義的配置類,在此類中注入微服務認證 訪問微服務需要密...
微服務系列之 Oauth2安全認證
總結oauth是乙個關於授權 authorization 的開放網路標準,在業界得到廣泛應用,目前的版本是2.0版。簡單來說就是客戶端應用程式 通常是web瀏覽器 代表使用者 得到了使用者的批准 去訪問受保護的資源。oauth2的設計背景,在於允許使用者在不告知第三方自己的帳號密碼情況下,通過授權方...