统一认证与授权在微服务架构中的设计与实战

作者/分享人:CANGWU
向 Ta 提问
CANGWU,著有《Spring Cloud微服务架构进阶》一书,具有多年服务端开发经验。热爱技术的极客,对高并发、分布式、微服务等有着独到的见解。喜欢研究新技术和有趣的开源项目。

在微服务架构中,统一认证与授权是非常基础的功能服务。在过去的单体应用中,可以基于 Session 实现基本的登录与鉴权。在微服务时代,基于服务自治的原则,每一个微服务实例都能够对外提供服务,Session 式的用户认证与授权方式明显有点力不从心(分布式 Session 另当别论)。基于 OAuth 2.0 的统一认证与授权方式通过对用户的身份和权限进行统一的管理,可以满足微服务架构一次授权,多次多点使用的需求。

本次分享我们从当前统一认证与授权的现状和面临的问题出发,讲解 OAuth 2.0 的定义和内容,基于当前最热门微服务开源安全框架的 Spring Cloud Security 进行用户认证和权限控制的实战训练,并借机介绍其中的实现机制,帮助深入理解 Spring Cloud Security 的同时引导对安全方面更深入的思考。

本场 Chat 主要内容:

  1. 统一认证与授权的现状和面临的问题;
  2. OAuth 2.0 的定义与授权模式;
  3. 认证服务器与 JWT;
  4. 授权服务器;
  5. 微服务 OAuth 2.0 实战;
  6. 接口级别的权限控制实战;
  7. 第三方登录实战(接入自家授权服务器与 GitHub 等)。
已有523人预订
预订达标
文章出炉
交流日期
     
10月11日
10月25日
11月01日 20:30
查看文章评论/提问
CANGWU
文章相对较长,大家也可以通过电脑端阅读。
小怪兽QWQ
项目的github地址发一下呀
CANGWU: https://github.com/CangXiaoWu/oauth2-example
D.
开发一个站点,号称可以使用qq,微博等第三方账号授权登录,用户点击后,弹出伪造的引导授权页面,用户输入第三方系统账号密码.....这样是不是就轻易的窃取走了?
望秦: 我也有这个疑问
CANGWU: 这种钓鱼操作,需要在授权页面注意识别。特别是在web端,移动端已经很难进行这种欺诈了。
风吹草不动
水印阅读体验很差
小新
数据库的连接怎么配置,把数据的密码验证怎么结合进来。难道要把所有的用户都信息都存到内存吗。其他的服务的访问也会被拦截吗
一枝花算不算浪漫
看完了,确实写的比较好,物超所值,感谢作者分享
你可能还喜欢
如何成为一名合格的 C/C++ 开发者?
范蠡
从新一期技术雷达看技术领域最新趋势
徐昊
微服务中的短信服务如何设计?
猿天地
亿级 QQ 会员活动运营系统的设计之道
廖声茂
详解 Java 常用的四种锁机制优缺点
安爷
数据科学 Kaggle 比赛项目实战:Titanic
刘明
微信扫描登录