我想创建一个基于微服务的spring-boot项目。我用Zuul实现了一个网关,现在不确定微服务之间的安全性使用什么。我需要微服务在收到请求时了解用户的权限,而且它们可能会相互通信,而不仅仅是网关。我使用的是spring-boot 2.5.7,但oauth2似乎不推荐使用,我也读过关于spring授权服务器的文章,但它是实验性的。我应该用什么来保证安全,如果你有一些教程的话,那就太好了。
p.S。它将有助于免费解决方案,即使这意味着更多的实现。
谢谢。
一些精度:
不赞成使用Spring Security OAuth2,因为OAuth2功能(授权服务器除外(已合并到Spring Security核心中。关于spring授权服务器,该项目不再是实验性的参见发行说明:https://github.com/spring-projects/spring-authorization-server您可以将其用作oauth2提供程序。
这意味着,你可以使用spring安全核心来保护你的微服务,使用任何OAuth2提供商(谷歌、Github、Key斗篷等(。选择权在你,你的需求现在很常见,找到解决方案并不难。
如果只在网关层进行安全保护会怎样?并在没有安全保障的情况下保留您的微服务?不确定是否符合您的要求。
使用AWS网关+cognito检查此示例,相同的想法:
https://aws.amazon.com/blogs/startups/how-stacs-uses-cognito-and-api-gateway/