PROSAGA码农传奇-智能网关-Zuul

<div class =“post-text”itemprop =“text”>
  <BLOCKQUOTE>
    <UL>
      <LI>
        Gateway将坐在许多服务面前
      </LI>
    </UL>
  </BLOCKQUOTE>
  
    这里有什么问题？
  
  <BLOCKQUOTE>
    <UL>
      <LI>
        某些服务可能会暴露不需要身份验证的端点
      </LI>
    </UL>
  </BLOCKQUOTE>
  
    Spring Security有一个
     <code>
 permitAll()
 </code>
    访问规则
  
  <BLOCKQUOTE>
    <UL>
      <LI>
        某些服务可能会暴露需要会话ID和端点的端点
  用一个标记“，一个任意的不透明值（例如下载一个
  文件，如果你知道一个“难以猜测”的网址）在API网关/春天
  安全性您可以使用特定端点配置所有端点
  认证要求。
      </LI>
    </UL>
  </BLOCKQUOTE>
  
    您的Zuul代理可以有会话。如果您使用的是Spring Security OAuth 2.0，则可以使用
     <code>
 ResourceServerSecurityConfigurer#stateless(false)
 </code>
     和激活会话
     <code>
 HttpSecurity#sessionManagement().sessionCreationPolicy(...)
 </code>
     每次收到有效的访问令牌时创建会话。 JSESSIONID Cookie将放在HTTP响应中。
  
  <BLOCKQUOTE>
    <UL>
      <LI>
        您如何强制实际的服务团队为每个下游服务提供所需的设置？
      </LI>
    </UL>
  </BLOCKQUOTE>
  
    我不确定我是否理解这里的问题，您不想在API网关（zuul代理）级别强制执行安全约束吗？或者您是否尝试在代理和目标应用程序上进行“安全双重检查”？
  
  <BLOCKQUOTE>
    <UL>
      <LI>
        如何允许网关中的频繁验证设置更改（根据服务需求）而不必停止整个网关？
      </LI>
    </UL>
  </BLOCKQUOTE>
  
    Zuul允许你添加
     <code>
 ZuulRoute
 </code>
    如果您将其用作独立库，则在运行时动态生成。包含在Spring Security中，其上下文在启动时初始化一次......我怀疑您可以在运行时轻松更改安全配置。
  
  
    的
      在评论中按照OP的精确编辑
    </强>
     ：如果你的团队应该对他们的安全规则负责，那么
    
      集中
    
     网关是一个设计上的矛盾。
  
  
    我对微服务理念的解释是每个应用程序都是独立的，并且负责其全部功能范围，并且安全/访问控制是其中的一部分。您可以在应用程序级别轻松验证令牌（通过调用授权服务器或使用JWT），每个应用程序定义每个资源需要哪个范围。
Spring Cloud已经有了
    <a href="https://github.com/spring-cloud/spring-cloud-security/tree/master/spring-cloud-starter-oauth2" rel="noreferrer">
      OAuth 2.0启动器
    </A>
    ，或者如果你使用“普通”Spring Boot，你可以轻松创建一个。
  
  
    这样，您可以在任何地方（公共云或本地服务器）部署单个应用程序，而无需依赖上游组件来实现安全性或将网关配置部署与其他团队同步。
  
  
    API网关的东西很容易诱惑，但不要忽视风险和限制：
  
  <UL>
    <LI>
      您将无法保护内部呼叫
    </LI>
    <LI>
      您将不得不依赖上游网络组件，并将您的应用程序输入视为理所当然
    </LI>
    <LI>
      高级访问控制规则可能会成为一个令人头痛的问题：如何获得用户的个人权限等
    </LI>
    <LI>
      您必须与其他团队同步配置更改
    </LI>
  </UL>
</DIV>

Zuul - Api网关认证