springcloud 授权认证的问题?
在springcloud微服务架构中,用户的授权认证是统一在网关处做校验呢?还是每个微服务都要做校验处理。
看了网上的很多文章,一般都是用户请求时携带登录时生成的token,然后网关服务只对该请求判断有没有携带token,如果没有就提示登录,如果有就放行请求。然后请求的微服务又会获取token,拿到token后提交给认证服务中心做校验是否合法,如果合法就执行操作。
上面的认证流程是不是太多余了。为什么要在每个微服务中都要先去获取token值,然后通过认证中心校验该token?
我的理解:
在微服务架构中,用户请求一般最先进入到网关服务中,那么为什么不把登录认证和权限校验都放在网关一次做完呢?网关服务拿到token(token通过jwt框架生成,可以保存用户的相关信息)值,然后校验该token,如果合法就继续判断该用户是否有权限操作(可以解析token中用户的uid,然后调用数据库查询是否有该权限),有就直接放行。
这样不简单多了吗?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我们之前做法是:
1、在网关处做token获取及校验,并将用户uid写入请求头。
2、其他服务不直接参与token相关内容,仅从请求头获取uid即可。
3、网关处不参与业务类权限等的校验。