0

私のアプリケーション設計は以下のようなものです:

ブラウザー---呼び出し----> Web マイクロサービス----呼び出し---> REST マイクロサービス

REST クライアント --calls --> REST マイクロ サービス。

アプリケーションがユーザー/セッション/クライアントを認証し、下線付きのマイクロサービスでユーザーに関する情報を再利用するためのエントリ ポイントとしてスプリング セキュリティを使用したいと考えました。そのためのセキュリティサービスを考えていました。

ブラウザ -->セキュリティ サービス----> Web マイクロサービス ----> REST マイクロサービス

REST クライアント ---->セキュリティ サービス----> REST サービス。

質問:

  1. セキュリティ サービスは、ユーザーに関する必要な情報を他のサービスにどのように渡しますか?

  2. Spring セキュリティを Web サービスおよび REST サービスに統合する必要がある場合、REST マイクロ サービスが Web サービスによって呼び出された場合、または REST クライアントによって直接呼び出された場合、トークンの検証はどのように機能しますか?

  3. 質問 2 の JWT トークンを生成する際のクライアント ID と秘密鍵は何ですか?

注:すべてのサービスは同じデータベースにアクセスできます

4

1 に答える 1

1

私がこれを正しく理解していれば、セキュリティ サービスは認証を処理し、残りのサービスへの呼び出しを行うプロキシと見なすことができますか? ネットワーク アクセスを REST サービスに制限して、すべての要求がセキュリティ サービスを確実に通過するようにしないのはなぜでしょうか? 次に、取得する値を信頼できるため、セキュリティ サービスによって REST に送信されるユーザー名とその他の情報を通常のパラメータにすることができます。それ以外の場合は、認証を処理し、他のサービスを呼び出すために使用される JWT トークンを送り返す別のレスト サービスを使用できます。

于 2016-12-16T11:46:12.643 に答える