文章詳情頁
java - 分布式系統(tǒng)中如何進行權(quán)限校驗比較好?
瀏覽:151日期:2023-10-21 08:07:19
問題描述
如題,在項目中,單獨有個系統(tǒng)作為權(quán)限系統(tǒng),現(xiàn)在的做法是每次請求業(yè)務(wù)系統(tǒng),都會在業(yè)務(wù)系統(tǒng)的攔截其中,把請求的URL傳過去權(quán)限系統(tǒng),來做校驗,校驗發(fā)起請求的用戶是否有該權(quán)限。
或者也可以從權(quán)限系統(tǒng)那里獲取該用戶的所有權(quán)限到業(yè)務(wù)系統(tǒng)中做校驗
無論哪種做法,感覺中間都可以篡改,不感覺很不安全
想問一下在分布式系統(tǒng)中如果進行權(quán)限校驗比較好,謝謝前輩
問題解答
回答1:樓主的問題與權(quán)限無關(guān),純粹是接口調(diào)用的安全性。一般做法有:
內(nèi)容明文傳輸,但加上校驗碼,校驗碼由雙方約定的一個密鑰生成,篡改者無法生成正確的校驗碼。
使用約定密鑰加密解密整個傳輸內(nèi)容。
回答2:登錄后請求權(quán)限系統(tǒng),將返回的權(quán)限菜單等信息放入緩存(自己用Map實現(xiàn)或Nosql,建議Nosql集群。要注意菜單有更新,則先清空用戶的redis數(shù)據(jù),再將最新的信息同步到redis,redis沒信息就從數(shù)據(jù)庫中取),再返回Java Web Token(包括時間戳、標識等)。
項目安全點就用Https,Spring-Security(訪問接口權(quán)限、防CSRF),每個接口都要驗簽,token加時間戳等。
回答3:你這個有點像OAuth2.0解決的問題
標簽:
java
上一條:java - spring-data Jpa 不需要執(zhí)行save 語句,Set字段就可以自動執(zhí)行保存的方法?求解下一條:java - SpringAOP如何獲得執(zhí)行方法的class上的注解信息
相關(guān)文章:
1. [python2]local variable referenced before assignment問題2. 求救一下,用新版的phpstudy,數(shù)據(jù)庫過段時間會消失是什么情況?3. javascript - 求幫助 , ATOM不顯示界面!!!!4. mysql - 請問數(shù)據(jù)庫字段為年月日,傳進的參數(shù)為月,怎么查詢那個月所對應(yīng)的數(shù)據(jù)5. python - 如何判斷字符串為企業(yè)注冊名稱6. php - 微信開發(fā)驗證服務(wù)器有效性7. python中怎么對列表以區(qū)間進行統(tǒng)計?8. javascript - 我的站點貌似被別人克隆了, google 搜索特定文章,除了域名不一樣,其他的都一樣,如何解決?9. javascript - js setTimeout在雙重for循環(huán)中如何使用?10. html - 移動端radio無法選中
排行榜
熱門標簽
網(wǎng)公網(wǎng)安備