微服务中提供给安卓,IOS这种移动端应用的接口,安全性是通过OAUTH保证吗
1.服务通信是不是指的就是服务之间的接口调用?
2.如果两个服务都是在内网中,那么服务之间的接口调用是不是可以不用考虑安全性问题,直接调用即可?
3.api gateway是不是把服务对内的接口做一层包装,再发布到网上,可以外部调用?
4.看介绍OAUTH2是给第三方接入的,那么给自己开发的移动端应用程序接口认证,鉴权,是否也采用oauth还是有其他方式?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
是
都可以,看你们对安全性的要求。当然最好是全部上https之类,甚至包括验证和鉴权的安全措施,避免一台机器被攻破,其他也全暴露。
是,但是还有其他很多功用,比如对内部api响应的组合和裁剪去适合不同客户端的需求,比如做一些通用的功能比如验证鉴权、缓存、静态资源处理等等
采用oauth完全没问题,你的这些移动端应用(苹果、安卓等)相当于oauth的client。
大部分都是鉴权
一般在微服务中添加应用后会有appid和appkey,可以通过在http header中添加参数的方式来进行鉴权
如:
appid:'testappid'
appkey:'testappkey'
客户端发出请求时
http header
AppId:'testappid',
Timestamp:'时间戳'
Signature:md5('testappid'+'testappkey'+时间戳)
服务端验证时,读取http header,通过签名计算算法检测签名是否正确。
整个过程中appkey不在网络中传输,安全性高