JWT - 网络安全第一站
CORS - 跨域安全解决
Spring Security - 服务安全卫士
一、JWT介绍
JWT的身份认证:
1、JWT全称 - JSON Web Token
2、JWT主要用于身份认证和信息加密
3、JWT是一个简单而有效的安全认证方式
二、JWT进阶特性
1、JWT可以携带数据进行传输,方便后端使用
2、JWT可以对传输数据进行签名,增加安全性
三、JWT组成
1、Header:存储关于签名算法的信息
2、Payload:存储信息
3、Signature:header + payload + 秘钥做一次hash256加密
四、在网关模块,配置请求过滤的逻辑
1、验证Token有效性
2、解析出JWT中的payload
3、是否需要验签
4、判断userId是否有效
五、CORS(跨域资源共享)
1、跨域资源共享:Cross-origin、resource sharing
2、域:当一个请求的协议、域名和端口三者之一不同即为跨域
3、在网关配置跨域资源的请求过滤,配置资源共享的方式和目标方
4、缺陷:如果出现跨域策略不足的情况,需要修改代码,重新部署(代价大)->Nginx(可选方案)
六、Eureka Server安全问题(Spring Security)
1、Spring Cloud默认可以使用Spring Security进行身份验证
2、Eureka Server可以使用Spring Security建立安全连接
3、Spring Cloud新版默认会开启CSRF防御(可关闭),会导致一些错误
4、步骤:添加依赖包、配置注册中心的用户名和密码