[TOC] ***** # 1. 有状态 VS 无状态 ``` 1-1. 传统架构(有状态) 通常Sessinon Stroe可以是redis 或者 Memcached ```  ``` 1-2. 微服务架构(无状态) 无状态模式下服务器端只做解密和校验,不做存储;由客户端(浏览器)做存储 ```  ``` 1-3. 优缺点对比 ```  # 2. 微服务常用的安全登录方案(认证/授权) ``` 2-1. "处处登录"方案(OAth2.0) 参考: https://www.cnblogs.com/cjsblog/p/10548022.html OAth2.0系列文档: http://ifeve.com/oauth2-tutorial-all/ Spring Cloud Security认证授权示例代码: https://github.com/chengjiansheng/cjs-oauth2-sso-demo.git Keycloak认证授权示例代码: https://www.github.com/eacdy/spring-cloud-yes.git ``` ``` 2-2. 微服务认证方案-[外部无状态,内部有状态方案] ```  ``` 2-3. 微服务认证方案-“网关认证授权，内部裸奔”方案 缺点: 网关被攻破,不安全 ```  ``` 2-4. 微服务认证方案-“内部裸奔”改进方案 ```  ``` 2-5. 微服务认证方案-方案对比与选择 ```  # 3. 访问控制模型(授权) ``` 即满足什么样的条件,才允许访问 ```  ``` 实现RBAC模型,如下: 简单的说,就是为用户分配角色,用角色关联权限 ```  # 4. JWT是什么？【是什么、组成、上手】 ``` 1. JWT是什么？ JWT(JSON Web Token) 是一个开放标准(RFC 7519)，它定义了一种紧凑的、自包含的方式, 用于作为JSON对象在各方之间安全地传输信息.该信息可以被验证和信任,因为它是数字签名的. ``` ``` 2. JWT组成 Token=Base64(Header).Base64(Payload).Base64(Signature) 如: aaa.bbb.ccc Signature=Header指定的签名算法(Base64(Header).Base64(Payload), 秘钥), HS256("aaa.bbb",秘钥) ```  ``` 开发参考文档: https://www.imooc.com/article/290892 ``` # 5. AOP实现登录状态检查 ``` 1. 过滤器 2. 拦截器 3. Spring AOP ``` # 6. Feign实现Token传递 ``` 1. 单个方法传递在请求参数及调用Feign接口的参数传递 @RequestHeader("X-Token") 2. 统一处理: /** * feign中拦截器传递Token * @FeignClient(configuration = TokenRelayRequestIntecepor.class) */ public class TokenRelayRequestIntecepor implements RequestInterceptor { @Override public void apply(RequestTemplate template) { //1. 获取到Token RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes(); ServletRequestAttributes attributes = (ServletRequestAttributes)requestAttributes; HttpServletRequest request = attributes.getRequest(); String token = request.getHeader("X-Token"); //2. Token传递 if(StringUtils.isNotBlank(token)) { template.header("X-Token", token); } } } ```