采纳答案成功!
向帮助你的同学说点啥吧!感谢那些助人为乐的人
微服务有前台门户系统,有后台管理系统,按照微服务来说,有一个统一认证授权的中心,但是这里明显有两套账号体系,所以请问一下,微服务是怎么处理的呢?
我们的做法是认证是两套应用,两套数据库,分别认证两套账号体系,认证完以后,处理jwt的生成和校验是一套服务,token里有字段标明用户类型。
老师,还是有一些疑问: 1、那这样,前台和后台可以做到SSO么? 2、目前我司是从网关做统一鉴权的,如果分别认证两套账号体系,这么做是不是就不太好处理了? 3、对于前后端分离项目,client_id和client_secret到底是前端传过来,还是写死在后端。 4、像京东、淘宝、支付宝它们的web端或是移动端的登陆都是通过什么技术,也是oauth登陆机制吗?我看了好多的知名网站,在它们的登陆请求中根本看不到什么用户名、密码、Bearer Token、client_id、client_secret之类的参数。 5、如果不使用jwt是否就不可以这么做了,比如把登陆状态存到session或者redis中,那么又如何处理? 6、还有我目前遇到的一个登陆场景不知道如何处理更好: 目前我们的账号体系是一个手机号对应多个账号,而产品经理的需求是先通过输入手机号发送验证码后再选择绑定的账号,这样又如何结合oauth授权来更安全的解决登陆问题
登录后可查看更多问答,登录/注册
从API到复杂微服务场景,实战部署可落地的安全方案。
1.0k 1
1.3k 8
1.7k 7
1.4k 6
1.3k 5