当我们已经在API Gateway级别进行授权时，再次验证微服务级别的授权是一种好的做法吗？

文章/答案/技术大牛

发布

1回答

authentication、authorization、microservices、keycloak、kong

我们正在尝试提出一个微服务架构，在这个架构中，我们需要确定在微服务级别实现授权是否是一个好的实践，而我们已经在网关级别实现了该级别的授权。我们使用KONG作为应用编程接口网关，它将与KeyCloak进行交互以进行授权。授权成功后，在资源级别

浏览 19提问于2021-08-15得票数 1

2回答

在API网关中可以有一个授权Lambda和一个代理Lambda吗？

amazon-web-services、aws-lambda、aws-api-gateway

我通过API Gateway将调用路由到托管在AWS上的后端API。客户端请求包括一个JWT令牌，该令牌由lambda授权器验证，该授权器生成IAM策略，然后在到达API端点之前由API网关缓存该策略。我想添加另一个lambda函数来对请求进行一些验证，该验证与lambda授权器所做的jwt令牌验证是分开<em

浏览 0提问于2019-01-03得票数 1

1回答

如何在API网关中结合用户和客户端级别的身份验证？

api、authentication、oauth、single-sign-on、apigee

我的想法是让SSO网关处理用户对网站和API的访问，使用OAuth或OpenID连接对最终用户进行身份验证。在此之后，对于任何API URL，都是API网关。客户端凭据与其说是安全性，不如说是对API函数的粗粒度访问，给出了API使用、流量整形、SLA等的可见性，但是需要用户身份来执行下游的数据级授权。我看过的</em

浏览 0提问于2015-07-21得票数 2

回答已采纳

1回答

Api网关责任:良好做法(授权、请求转换)

architecture、aws-api-gateway、api-gateway、spring-cloud-gateway

我正在考虑在我的微服务之上使用一个api网关。但有一些建筑问题，我没有明确的答案，所以我想征求社区的意见。此外，如果你能分享你对好的和坏的做法的想法，那就太好了。问题问题主要是什么是网关:它只是api用户和微服务之间的桥梁吗？或者<em

浏览 1提问于2018-06-05得票数 2

2回答

在API网关级解码OAuth2 JWT与在单个微服务级解码JWT

spring-boot、microservices、spring-security-oauth2

我已经使用Spring Boot1.5.x+ OAuth2和JWT开发了一组微服务(资源服务器)。现在，每个微服务都使用Spring Security进行保护，即在单个资源服务器级别验证JWT访问令牌。API Gateway没有适当的spring安全性，因此它只是将请求路由到适当的服务器，并将身份验证头传播到下游服务。我想知道与只在API

浏览 23提问于2018-07-26得票数 5

回答已采纳

1回答

iOS应用程序: 20分钟后服务器超时的身份验证。这正常吗，我怎么处理呢？

ios、iphone、ipad、authentication、nsurlsession

不幸的是，在20分钟的不活动之后，我从随后对服务器的调用中得到401个未经授权的响应，直到我退出应用程序并再次登录(或者更具体地说，直到我再次用用户名和密码调用登录API )。这个挑战是成功的，应用程序进行得很好。在20分钟的不活动之后，下一个API调用将再次触发此委托方法。这有几个问题:通过会话级别的

浏览 2提问于2014-12-17得票数 0

回答已采纳

4回答

api网关后面的keycloak是一种好的做法吗？

keycloak、kong

在Api gateway (Kong)背后使用或不使用Keycloak有什么好的论据？

浏览 0提问于2018-03-02得票数 11

4回答

如何唯一地标识用于rest的Android应用程序

android、restful-authentication

有办法在Java代码中唯一地识别我的Android应用程序吗？也许是包名和其他东西的组合？我知道有一种方法可以识别出一个独特的安卓，但这不是我想要的。我希望能够唯一地识别我制作的Android应用程序，这样我就可以将这些信息传递给我自己的私有RESTful API。这将允许我验证这个调用来自我的Android应用程序，而不是另一个未经授权的应用程序。我希望我<em

浏览 6提问于2015-08-25得票数 11

1回答

如何为API客户端的单元测试创建输入数据？

unit-testing、testing、api、ruby、legacy-code

我正在为我的团队的遗留API客户端系统构建最初的单元测试集。我们一直在编写集成测试，但没有单元测试。模拟我们的API客户端类方法，以检查到达API客户端类方法时如何处理和格式化到服务器端点的输入数据。类似地

浏览 0提问于2020-08-28得票数 -1

5回答

j_security_check和JAAS

java、security、j-security-check

我的任务是实现一个登录处理程序。处理程序捕获的唯一详细信息是用户名和密码。最初，我打算使用一个发布到servlet的JSP。其中servlet执行db查找并且还验证用户凭证。成功登录后，您将被重定向，但如果登录失败，您将返回到jsp并显示相应的错误消息。我会从中获得什么好处，哪一个最适合我的任务？

浏览 0提问于2008-09-23得票数 4

1回答

API网关授权器和注销(性能/安全考虑)

amazon-web-services、aws-lambda、aws-api-gateway、serverless

我使用的是认知，API网关和授权器。为了提高性能，授权程序被配置为缓存5分钟。我觉得这是个不错的特征。我知道授权人是一个很好的方法，可以把逻辑保持在一个地方，并且应用程序可以假定用户已经被授权了。所以为了安全起见，我不应该启用授权程序缓存？这也意味着所有经过身份验证的API都需要通过lambda授权程序的一次

浏览 1提问于2018-12-17得票数 2

回答已采纳

2回答

windows mobile的登录实现

c#、windows-mobile、compact-framework

什么是对windows mobile app进行凭证检查的好方法。知道它是一个偶尔连接的设备。如果两者都失败了，那么会显示一条错误消息？这是一种好的方法吗？

浏览 1提问于2010-05-20得票数 0

回答已采纳

3回答

Google高级版:使用哪种身份验证机制？

google-api、google-apps、google-authentication

我们公司有一个仅供员工在内部使用的web应用程序。我们也有Google高级版。我们想做，以便我们的员工可以登录到我们的私人网络应用程序使用谷歌应用程序帐户，他们已经拥有。要求：我们想显示我们自己的登录表单。我们不想通过互联网传递纯文本的电子邮件/密码。我们应该使用哪种身份验证机制来实现这一点？注意:我们</e

浏览 2提问于2010-06-29得票数 0

4回答

如何在Android客户端和服务器端应用程序之间安全地发送密码？

android、.net、password-hash、jasypt

我目前的Android应用程序要求用户使用用户名和密码登录。但是，我的服务器端是用.NET编写的，就我对Jasypt文档的理解而言，密码加密器使用的是随机盐。如何让我的服务</e

浏览 6提问于2019-01-01得票数 4

3回答

Django Rest框架--为什么在尝试使用不正确的凭据登录用户时返回200状态代码？

angularjs、django、django-rest-framework、django-rest-auth

这是我的URLs.py： namespace当单击submit按钮时，AngularJS通过用户对象(用户名和密码)向“auth/login/”发送一个POST请求： $http.post("/api-auth/login/", self.log

浏览 6提问于2015-09-22得票数 5

回答已采纳

3回答

在使用JWT令牌身份验证时，是否真的需要刷新令牌？

authentication、oauth-2.0、jwt、access-token、http-token-authentication

我引用了另一篇关于如何使用JWT刷新令牌的文章。我希望我的JWT身份验证具有以下属性：客户端每小时刷新一次令牌。我看到很多人声称使用刷新令牌的概念使这成为一种<

浏览 9提问于2015-08-17得票数 91

1回答

架构设计-支持移动应用程序Facebook登录的REST

api、rest、facebook-graph-api、oauth、oauth-2.0

这些应用程序将允许用户使用facebook登录以及我们自己的电子邮件身份验证。你可以参考下面的图表来理解我的设计有两个级别的授权：首先是使用OAuth2的“客户端(或应用程序)授权”。如果我对其进行加密，我仍然需要在我的系统中的某个地方保存加密密钥。那么它将如何使它安全呢？在每个呼叫中，解密也是一种开销。API服务器获取该令牌并调用

浏览 0提问于2015-05-14得票数 10

15回答

认证与授权

security、authorization、authentication

web应用程序的上下文有什么不同？我经常看到缩写"auth“。它代表auth-entication还是auth-orization？？还是两者都有？

浏览 14提问于2011-07-02得票数 700

回答已采纳

1回答

如何为Firebase web应用程序构建一个受保护和安全的管理部分？

firebase、firebase-authentication、google-cloud-firestore

我有一个Firebase应用程序，这是一个基本的博客网站。我不会对普通用户进行任何身份验证。但我需要一种方法来验证和/或授权admin创建博客文章。PS:我知道这不是刻意隐藏的，但我的意思是它不能通过点击访问。当admin点击该URL时，它们将提供username和password，并将被授予访问管理面板和为博客创建帖子的权限。我主要担心的是，任何恶意

浏览 0提问于2019-06-11得票数 0

回答已采纳

17回答

为什么OAuth v2同时具有访问令牌和刷新令牌？

security、oauth、access-token、refresh-token

草案OAuth 2.0协议的4.2节指出，授权服务器既可以返回access_token (用于向资源进行自我认证)，也可以返回纯粹用于创建新access_token的refresh_token 为什么两者都有

浏览 5提问于2010-08-15得票数 744

回答已采纳

点击加载更多