为什么不使用 spring security 来保护我们的应用?
这是我第一次在慕课网上购买课程,399 对一个学生党还是挺多的。最主要让我下定决心购买的原因是因为只有这一门spring cloud的课程比较跟进,更多是看到讲到了spring cloud gateway,这个的资料着实太少。
为什么不使用 spring security 来保护我们的应用?
这个是我一直想问的问题,我自己写了一个oauth2的授权服务器,所以我使用的是老师所说的”处处安全“方案,我希望每个微服务都被 spring security 提供安全的保护,虽然他也是基于过滤器的,但是在某些地方的使用还是很不错的,比如自动就可以jwt进行解密了,再比如直接可以作为一个oauth2的资源服务器保护应用了。
我主要的目的想在 gateway 中集成 spring security 的 oauth2 相关的内容。直接通过他来对我们令牌进行加、解密,然后直接可以通过安全上下文获取用户相关的信息。其实目前我也是在卡在这里很久了,微服务作为oauth2的资源服务器,jwt已经自动解密,用户相关的信息都在jwt里面了。但是却不能够直接给到安全上下文,安全上下文里面的用户信息一直是空的,这是我比较头疼的。可能是因为我的所有微服务应用都是基于webflux,也就是gateway同一架构的,所以才找gateway相关的课程来看的。
这是我希望在课程中第十章第十一章看到的,可能这个不是专门讲安全的课,所以还是有点遗憾的,希望老师考虑可以像前面一样写个手记啥的~老师手记真的很棒。
正在回答
1回答
只用Spring Security可能还不够,因为你还得实现token传递、OAuth2的token交换等等。Spring Cloud有个Spring Cloud Security是基于Spring Security做的,可以实现处处安全方案下的微服务安全。
不讲,主要有几个原因。
时间因素。单单Spring Security就已经是可以单独开课的了,我很难在1-2个小时之内讲好Spring Security,还要再加上一个Spring Cloud Security;
目前没有找到企业大规模使用Spring Cloud Security的成功案例,讲了不一定会有实际意义。
Spring Cloud Security这玩意儿很不好用,上手看着舒坦,但真正用到项目中有很多隐形的学习曲线在。综上,还是接地气一点,采取了企业更常用的方案——自己玩。
祝您学习愉快!
相似问题
登录后可查看更多问答,登录/注册
- 参与学习 3051 人
- 提交作业 192 份
- 解答问题 1322 个
面向未来微服务:熟练掌握Spring Cloud Alibaba
了解课程
