代码拉取完成,页面将自动刷新
我的理解是这样的,认证中心主要是通过Spring Security进行用户鉴权以及颁发token。而网关主要是根据token获取用户是否具有访问资源的权限。那么在网关处也应该使用Spring Security拦截没有访问该资源权限的用户。既然如此,两者是否能够合并到网关处?此外,对于资源而言,我想在开发过程中或是启动时,将开放的资源url以及对其访问的权限描述注册到数据库或配置中心里,这样网关层可以根据用户的权限信息判断出是否应该继续分发请求。这样可以解除资源层对于Spring Security的依赖。对于这类型的场景,您是如何考虑的?
合在一起,WebSecurityConfigurerAdapter与ResourceServerConfigurerAdapter进行资源隔离不是很好。
api网关只管理企业核心接口,只需要校验redis的token,故只需要考虑ResourceServerConfigurerAdapter即可。
页面使用WebSecurityConfigurerAdapter的进行资源隔离,通过jwt的token进行页面权限控制,两者使用了不同的token生成存储策略。
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
登录 后才可以发表评论