다음은 아키텍처 예입니다.스프링을 사용한 마이크로 서비스 권한 부여
- 사용자는 API 게이트웨이
- 게이트웨이는
- 스프링 세션이 microservices "A"와 "B"로 HTTP 세션을 복제하는 모든 요청을 인증하는 API를 통해 microservices "A"와 "B"를 액세스 할 수 있습니다.
- 마이크로 서비스 "C"는 보안 점검없이 마이크로 서비스 "A"에 액세스합니다.
브라우저와 microservices 사이의 권한 부여 검사를 제공하는 가장 좋은 방법은 무엇입니까? 솔루션은 마이크로 서비스 "C"가 "세션"/ 역할과 연관되어 있지 않음을 해결해야합니다. 특히
:
- 어떻게 메소드 레벨 인증 작업이 [예. @PreAuthorize] 마이크로 서비스 "C"에 사용자가 없을 때?
- 모든 승인 확인을 API 게이트웨이에 넣고 보호 할 모든 마이크로 서비스 간 통신을 보호해야합니까?
토큰을 @PreAuthorize가 인증 할 수있는 역할/기관으로 어떻게 변환합니까? –