springcloud oauth2.0 jwt 前后端分离的几个问题

oauth2.0提供了一种客户端模式获取token的方式,A微服务就可以用feign通过这种模式请求B服务的相关接口。(zuul,eureka)

第一个问题:
是否有这样一种场景,前端调用A服务的某接口,而这个接口需要调用B服务的某接口,但是这个接口需要用户有一定角色权限才可调用,前端登录的用户是有这种角色权限的,但是由于A服务调用B服务是通过客户端模式生成的token和用户是没关系的,所以会因为没权限调用不了?A服务调用B服务是都通过客户端模式生成token去调用还是会判断前端是否传token,有的话把前端传过来的token继续传过去呢?

第二个问题:
而假设现在不是由前端调用,而是A服务有个定时器,需要调用B服务查询数据的一个接口,而B服务的这个接口是不应该让前端可以调用到。如果正常写接口的话,用户应该还是可以通过zuul到eureka调用到这个接口的吧?这时怎么限制这个不让前端进行调用?修改zuul匹配规则只能请求某路径开头的接口?还是别的怎么方式?

第三个问题:
我github上看了一个基于jwt的前后端分离的oauth2.0的单点登录项目,前端nodejs+vue,然后登录的时候是自定义实现的,用户名+密码+clientid+clientsecret获取token,然后后面可以用refreshtoken + clientid + clientsecret调用接口/oauth/token 续期token。而由于他这里是直接在js里面发起请求到zuul层,所以clientid和clientsecret是直接暴露在js里面的,然后上面说了有一种客户端模式获取token,就是只需要clientid+clientsecret就可以拿到token,只是不能refresh。这样的话把clientid和clientsecret直接写在js里面暴露出来靠谱吗?

而登录已经需要用户名密码了为什么还让传clientid和clientsecret。有什么意义吗?传clientid能理解,clientid有一个scope,但感觉好像没必要也要传clientsecret

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
OAuth2.0 java 服务端搭建
谁有java版 OAuth2.0 服务端搭建的源代码啊?在线等~QQ:506496717
迁移OpenID2.0至OAuth 2.0 openid不匹配
HI ALL 最近因google会在2015年4月20号关闭OpenID2.0,在之前需把OpenID2.0迁移至 OAuth2.0。在实际的迁移过程中,从OAuth2.0接口中所获得的openid_id与原Openid2.0 所获得的不一致(OAuth2.0中的openid_id由id_token(JWT)解密而来)。步骤都按google文档进行,解密出来的其他数据都是正确的,就openid_id比对不上,头痛ing。。。还烦各位知情人指点(账号暂未有积分,所以只能SORRY^..^) , 感谢!
wcf支持第三方授权oauth 2.0吗?
wcf支持第三方授权oauth 2.0吗?wcf支持第三方授权oauth 2.0吗?
微信oauth 2.0 的网页
微信oauth 2.0 的小游戏 我想拿前端源码,如何取得。
apache oauth2.0 java 服务器客户端实现 ,求解答!跪求!
要求使用 apache oauth2.0实现 开放授权 ,求java 搭建服务端和客户端实现!(不用spring插件实现)
有OAUTH2.0服务器开发资料吗?
我想搭建一个oauth2.0服务器,有相关资料吗?找了几个月都找不到满意的资料,网上都说介绍怎么基于新浪等网站的API搭建的应用,书店也找不到
基于springboot实现security-oauth2.0客户端模式token验证?
项目是基于spring springboot去实现的。现在要利用security-oauth2.0去实现token验证 以免其他人随意调用,基本拦截配置已经完成了。但是token怎么生成呢?怎么去写token 的这个接口呢?本人是新手不是很熟悉,试着很多相关demo,也看了官方文档,但是还是 懵懂状态,希望大神能给个详细的解释,能给一个例子就更好了,谢谢了
oauth2.0 sso如何实现退出系统一个系统退出其它系统全部退出!!!!!急!!!!
具体就是用oauth2.0写的单点登录,我想多个系统一个登录系统,登录好了,就差退出。。。然后只要有一个系统退出所有的都退出
微信网页授权(OAuth2.0)
最近在搞有关微信的项目,也是刚接触微信没多久。我在微信订阅号中需要用户访问我们写好的第三方页面,但是页面中需要得到用户的openid做业务逻辑,我们的服务器端用的是senparc的开源方案,想用普通url加?的方式传递openid但是考虑到安全,所以用到了oauth2.0,看到官方给的介绍不是太明白具体操作过程,哪位大神帮忙具体分析一下这个的操作过程。我主要是不明白中间的用code换取accss_token的操作,还有我的第三方页面究竟是如何得到openid的,大家多多指点。
利用新浪的python sdk接口时,需要OAuth2.0认证,如何模拟获取code码
我在使用新浪的python sdk接口时,涉及OAuth2.0认证,其中要获取code码。如何用程序模拟授权,然后获取code码?
Github Oauth2.0 登录为什么报错 Bad credentials?
我在尝试接入github的Oauth2.0API的时候出现了在获取用户信息的时候出现如下的返回是为什么? ``` {"message":"Bad credentials","documentation_url":"https:\/\/developer.github.com\/v3"} ``` ![图片说明](https://img-ask.csdn.net/upload/201903/10/1552193443_899641.png)
手机端H5页面 是怎么调用 微信客户端OAuth2.0网页授权的
![这是手机浏览器里的html页面](https://img-ask.csdn.net/upload/201609/05/1473052745_178937.png) 这是手机浏览器里的html页面截图 不是京东的app 它这里直接跳转到微信app 然后登录了 我在**微信开放平台**也没找到相关的文档 目前也只用了微信里面的扫码oauth登录 只能电脑端扫码登录 想手机端登录就没法实现了
springboot oauth2.0 实现token的Authentication 验证?
项目基于spring springboot,利用oauth2去实现一个token的Authentication 验证,采取 clientcredetails,利用clientid clientsecret还有grant_type=clientcredetails去请求 oauth/token,那么这里面的clientID和clientSecret是怎么来的呢,是由后端去随机生成的吗,如果是这样的话,需要怎么做呢?如果不是,那他是怎么生成的呢?也是有Authentication 的接口去生成的吗?本人刚刚接触不是很懂希望大神指教一下,麻烦不要推荐文章,因为看了很多,现在自己有点迷茫,希望大神能借助自己的语言帮忙解答一下小弟的问题,谢谢了!
wap QQ OAuth2.o ping graph.z.qq.com 不通
wap 接入qq的OAuth2.0 登录时候,ping graph.z.qq.com 这个时候不通?是官方不是最新版文档,还是需要什么操作才行?其他两个是可以的。 http://op.open.qq.com/index.php?mod=appinfo&act=main&appid=1105618212#main|basic,qq互联网址。 ![图片说明](https://img-ask.csdn.net/upload/201608/16/1471317787_571762.png)
使用oauth2.0如何重写保存,删除授权码的逻辑代码呢?
在和第三方平台做对接时,当别人发送获取token的请求时,有时由于网速问题导致5秒内未能够及时回复,第三方那边就会重新再发送相同的请求,导致我后台报错“无效的授权码”。所以我想自己重写一个定时删除授权码的方法,或者如果有更好的解决方法也可以提出,谢谢!
oauth2.0用授权码去获取access_token的时候为什么还要传递redirect_uri
第一步认证授权的时候需要传redirect_uri,我知道是方便授权流程结束后要跳转回的URL地址,但第二步通过授权码去获取access_token的时候为什么还需要传递redirect_uri参数,在获取access token的时候成功就返回token,失败就返回错误码,但好像不需要通过redirect_uri跳回的,看了看人人网、新浪微博、腾讯、阿里的开放平台都需要传递这个参数,现在实在不知道第二步为毛要传递这个参数
oauth2客户端模式权限问题
基于springcloud Finchley.SR2 + springboot2.0.4版本<br/> 在集成oauth2时,因为业务需求需要支持oauth2客户端模式,tokenStore时使用的redistokenStore,但是系统中时根据security中的@PreAuthorize来验证权限的,客户端模式获取token ##问题 1.根据这个token访问系统时,@PreAuthorize把请求拦截了,这个应该如何解决?<br/> 2.在设置tokenStore时,如何动态设置tokenStore是使用redistokenStore还是jwttokenStroe?<br/> 3.oauth_client_details表中的resource_ids字段时在什么情况下起作用,这里边应该存放什么数据?<br/> 待大神指导
微信企业号OAuth2.0验证无法连接
https://open.weixin.qq.com/connect/oauth2/authorize?appid=wxfe5ebf0fa49d99ce&redirect_uri=http%3a%2f%2fdata.app.cofcotrading.com%3a8199%2fkpitest%2fcheck%3fSYS%3d"+SYS+"%26urlparam%3d"+urlparam+"&response_type=code&scope=SCOPE&state=STATE#wechat_redirect 以上是我的redirect地址 实在是不知道哪错了 之前在自己的微信号上测都可以 用了客户的域名就不能跳转了 求大神指点啊!~~
springcloud oauth2 微服务之间同feign调用,产生invalid_token
使用的是auth2的方式进行微服务的授权, 获取到token后调用服务都正常,但是如果服务之间通过feign互相调用, 就会出现token不正确的问题,生产者一方会出现如下警告: WARN 22880 --- [nio-8200-exec-2] o.s.b.a.s.o.r.UserInfoTokenServices : Could not fetch user details: class org.springframework.beans.factory.BeanCreationException, Error creating bean with name 'scopedTarget.oauth2ClientContext': Scope 'session' is not active for the current thread; consider defining a scoped proxy for this bean if you intend to refer to it from a singleton; nested exception is java.lang.IllegalStateException: No thread-bound request found: Are you referring to request attributes outside of an actual web request, or processing a request outside of the originally receiving thread? If you are actually operating within a web request and still receive this message, your code is probably running outside of DispatcherServlet/DispatcherPortlet: In this case, use RequestContextListener or RequestContextFilter to expose the current request.
相见恨晚的超实用网站
相见恨晚的超实用网站 持续更新中。。。
爬虫福利二 之 妹子图网MM批量下载
爬虫福利一:27报网MM批量下载 点击 看了本文,相信大家对爬虫一定会产生强烈的兴趣,激励自己去学习爬虫,在这里提前祝:大家学有所成! 目标网站:妹子图网 环境:Python3.x 相关第三方模块:requests、beautifulsoup4 Re:各位在测试时只需要将代码里的变量path 指定为你当前系统要保存的路径,使用 python xxx.py 或IDE运行即可。 ...
字节跳动视频编解码面经
三四月份投了字节跳动的实习(图形图像岗位),然后hr打电话过来问了一下会不会opengl,c++,shador,当时只会一点c++,其他两个都不会,也就直接被拒了。 七月初内推了字节跳动的提前批,因为内推没有具体的岗位,hr又打电话问要不要考虑一下图形图像岗,我说实习投过这个岗位不合适,不会opengl和shador,然后hr就说秋招更看重基础。我当时想着能进去就不错了,管他哪个岗呢,就同意了面试...
开源一个功能完整的SpringBoot项目框架
福利来了,给大家带来一个福利。 最近想了解一下有关Spring Boot的开源项目,看了很多开源的框架,大多是一些demo或者是一个未成形的项目,基本功能都不完整,尤其是用户权限和菜单方面几乎没有完整的。 想到我之前做的框架,里面通用模块有:用户模块,权限模块,菜单模块,功能模块也齐全了,每一个功能都是完整的。 打算把这个框架分享出来,供大家使用和学习。 为什么用框架? 框架可以学习整体...
源码阅读(19):Java中主要的Map结构——HashMap容器(下1)
HashMap容器从字面的理解就是,基于Hash算法构造的Map容器。从数据结构的知识体系来说,HashMap容器是散列表在Java中的具体表达(并非线性表结构)。具体来说就是,利用K-V键值对中键对象的某个属性(默认使用该对象的“内存起始位置”这一属性)作为计算依据进行哈希计算(调用hashCode方法),然后再以计算后的返回值为依据,将当前K-V键值对在符合HashMap容器构造原则的基础上,放置到HashMap容器的某个位置上,且这个位置和之前添加的K-V键值对的存储位置完全独立,不一定构成连续的存储
c++制作的植物大战僵尸,开源,一代二代结合游戏
此游戏全部由本人自己制作完成。游戏大部分的素材来源于原版游戏素材,少部分搜集于网络,以及自己制作。 此游戏为同人游戏而且仅供学习交流使用,任何人未经授权,不得对本游戏进行更改、盗用等,否则后果自负。目前有六种僵尸和六种植物,植物和僵尸的动画都是本人做的。qq:2117610943 开源代码下载 提取码:3vzm 点击下载--&gt; 11月28日 新增四种植物 统一植物画风,全部修...
Java学习的正确打开方式
在博主认为,对于入门级学习java的最佳学习方法莫过于视频+博客+书籍+总结,前三者博主将淋漓尽致地挥毫于这篇博客文章中,至于总结在于个人,实际上越到后面你会发现学习的最好方式就是阅读参考官方文档其次就是国内的书籍,博客次之,这又是一个层次了,这里暂时不提后面再谈。博主将为各位入门java保驾护航,各位只管冲鸭!!!上天是公平的,只要不辜负时间,时间自然不会辜负你。 何谓学习?博主所理解的学习,它是一个过程,是一个不断累积、不断沉淀、不断总结、善于传达自己的个人见解以及乐于分享的过程。
程序员必须掌握的核心算法有哪些?
由于我之前一直强调数据结构以及算法学习的重要性,所以就有一些读者经常问我,数据结构与算法应该要学习到哪个程度呢?,说实话,这个问题我不知道要怎么回答你,主要取决于你想学习到哪些程度,不过针对这个问题,我稍微总结一下我学过的算法知识点,以及我觉得值得学习的算法。这些算法与数据结构的学习大多数是零散的,并没有一本把他们全部覆盖的书籍。下面是我觉得值得学习的一些算法以及数据结构,当然,我也会整理一些看过...
Python——画一棵漂亮的樱花树(不同种樱花+玫瑰+圣诞树喔)
最近翻到一篇知乎,上面有不少用Python(大多是turtle库)绘制的树图,感觉很漂亮,我整理了一下,挑了一些我觉得不错的代码分享给大家(这些我都测试过,确实可以生成) one 樱花树 动态生成樱花 效果图(这个是动态的): 实现代码 import turtle as T import random import time # 画樱花的躯干(60,t) def Tree(branch, ...
linux系列之常用运维命令整理笔录
本博客记录工作中需要的linux运维命令,大学时候开始接触linux,会一些基本操作,可是都没有整理起来,加上是做开发,不做运维,有些命令忘记了,所以现在整理成博客,当然vi,文件操作等就不介绍了,慢慢积累一些其它拓展的命令,博客不定时更新 free -m 其中:m表示兆,也可以用g,注意都要小写 Men:表示物理内存统计 total:表示物理内存总数(total=used+free) use...
Python 基础(一):入门必备知识
Python 入门必备知识,你都掌握了吗?
深度学习图像算法在内容安全领域的应用
互联网给人们生活带来便利的同时也隐含了大量不良信息,防范互联网平台有害内容传播引起了多方面的高度关注。本次演讲从技术层面分享网易易盾在内容安全领域的算法实践经验,包括深度...
程序员接私活怎样防止做完了不给钱?
首先跟大家说明一点,我们做 IT 类的外包开发,是非标品开发,所以很有可能在开发过程中会有这样那样的需求修改,而这种需求修改很容易造成扯皮,进而影响到费用支付,甚至出现做完了项目收不到钱的情况。 那么,怎么保证自己的薪酬安全呢? 我们在开工前,一定要做好一些证据方面的准备(也就是“讨薪”的理论依据),这其中最重要的就是需求文档和验收标准。一定要让需求方提供这两个文档资料作为开发的基础。之后开发...
网页实现一个简单的音乐播放器(大佬别看。(⊙﹏⊙))
今天闲着无事,就想写点东西。然后听了下歌,就打算写个播放器。 于是乎用h5 audio的加上js简单的播放器完工了。 演示地点演示 html代码如下` music 这个年纪 七月的风 音乐 ` 然后就是css`*{ margin: 0; padding: 0; text-decoration: none; list-...
Python十大装B语法
Python 是一种代表简单思想的语言,其语法相对简单,很容易上手。不过,如果就此小视 Python 语法的精妙和深邃,那就大错特错了。本文精心筛选了最能展现 Python 语法之精妙的十个知识点,并附上详细的实例代码。如能在实战中融会贯通、灵活使用,必将使代码更为精炼、高效,同时也会极大提升代码B格,使之看上去更老练,读起来更优雅。
数据库优化 - SQL优化
以实际SQL入手,带你一步一步走上SQL优化之路!
2019年11月中国大陆编程语言排行榜
2019年11月2日,我统计了某招聘网站,获得有效程序员招聘数据9万条。针对招聘信息,提取编程语言关键字,并统计如下: 编程语言比例 rank pl_ percentage 1 java 33.62% 2 cpp 16.42% 3 c_sharp 12.82% 4 javascript 12.31% 5 python 7.93% 6 go 7.25% 7 p...
通俗易懂地给女朋友讲:线程池的内部原理
餐盘在灯光的照耀下格外晶莹洁白,女朋友拿起红酒杯轻轻地抿了一小口,对我说:“经常听你说线程池,到底线程池到底是个什么原理?”
经典算法(5)杨辉三角
写在前面: 我是 扬帆向海,这个昵称来源于我的名字以及女朋友的名字。我热爱技术、热爱开源、热爱编程。技术是开源的、知识是共享的。 这博客是对自己学习的一点点总结及记录,如果您对 Java、算法 感兴趣,可以关注我的动态,我们一起学习。 用知识改变命运,让我们的家人过上更好的生活。 目录一、杨辉三角的介绍二、杨辉三角的算法思想三、代码实现1.第一种写法2.第二种写法 一、杨辉三角的介绍 百度
腾讯算法面试题:64匹马8个跑道需要多少轮才能选出最快的四匹?
昨天,有网友私信我,说去阿里面试,彻底的被打击到了。问了为什么网上大量使用ThreadLocal的源码都会加上private static?他被难住了,因为他从来都没有考虑过这个问题。无独有偶,今天笔者又发现有网友吐槽了一道腾讯的面试题,我们一起来看看。 腾讯算法面试题:64匹马8个跑道需要多少轮才能选出最快的四匹? 在互联网职场论坛,一名程序员发帖求助到。二面腾讯,其中一个算法题:64匹...
面试官:你连RESTful都不知道我怎么敢要你?
干货,2019 RESTful最贱实践
为啥国人偏爱Mybatis,而老外喜欢Hibernate/JPA呢?
关于SQL和ORM的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行了一番讨论,感触还是有一些,于是就有了今天这篇文。 声明:本文不会下关于Mybatis和JPA两个持久层框架哪个更好这样的结论。只是摆事实,讲道理,所以,请各位看官勿喷。 一、事件起因 关于Mybatis和JPA孰优孰劣的问题,争论已经很多年了。一直也没有结论,毕竟每个人的喜好和习惯是大不相同的。我也看...
项目中的if else太多了,该怎么重构?
介绍 最近跟着公司的大佬开发了一款IM系统,类似QQ和微信哈,就是聊天软件。我们有一部分业务逻辑是这样的 if (msgType = "文本") { // dosomething } else if(msgType = "图片") { // doshomething } else if(msgType = "视频") { // doshomething } else { // doshom...
致 Python 初学者
欢迎来到“Python进阶”专栏!来到这里的每一位同学,应该大致上学习了很多 Python 的基础知识,正在努力成长的过程中。在此期间,一定遇到了很多的困惑,对未来的学习方向感到迷茫。我非常理解你们所面临的处境。我从2007年开始接触 python 这门编程语言,从2009年开始单一使用 python 应对所有的开发工作,直至今天。回顾自己的学习过程,也曾经遇到过无数的困难,也曾经迷茫过、困惑过。开办这个专栏,正是为了帮助像我当年一样困惑的 Python 初学者走出困境、快速成长。希望我的经验能真正帮到你
Python 编程实用技巧
Python是一门很灵活的语言,也有很多实用的方法,有时候实现一个功能可以用多种方法实现,我这里总结了一些常用的方法,并会持续更新。
“狗屁不通文章生成器”登顶GitHub热榜,分分钟写出万字形式主义大作
一、垃圾文字生成器介绍 最近在浏览GitHub的时候,发现了这样一个骨骼清奇的雷人项目,而且热度还特别高。 项目中文名:狗屁不通文章生成器 项目英文名:BullshitGenerator 根据作者的介绍,他是偶尔需要一些中文文字用于GUI开发时测试文本渲染,因此开发了这个废话生成器。但由于生成的废话实在是太过富于哲理,所以最近已经被小伙伴们给玩坏了。 他的文风可能是这样的: 你发现,
程序员:我终于知道post和get的区别
IT界知名的程序员曾说:对于那些月薪三万以下,自称IT工程师的码农们,其实我们从来没有把他们归为我们IT工程师的队伍。他们虽然总是以IT工程师自居,但只是他们一厢情愿罢了。 此话一出,不知激起了多少(码农)程序员的愤怒,却又无可奈何,于是码农问程序员。 码农:你知道get和post请求到底有什么区别? 程序员:你看这篇就知道了。 码农:你月薪三万了? 程序员:嗯。 码农:你是怎么做到的? 程序员:
"狗屁不通文章生成器"登顶GitHub热榜,分分钟写出万字形式主义大作
前言 GitHub 被誉为全球最大的同性交友网站,……,陪伴我们已经走过 10+ 年时间,它托管了大量的软件代码,同时也承载了程序员无尽的欢乐。 上周给大家分享了一篇10个让你笑的合不拢嘴的Github项目,而且还拿了7万+个Star哦,有兴趣的朋友,可以看看, 印象最深刻的是 “ 呼吸不止,码字不停 ”: 老实交代,你是不是经常准备写个技术博客,打开word后瞬间灵感便秘,码不出字? 有什么
推荐几款比较实用的工具,网站
1.盘百度PanDownload 这个云盘工具是免费的,可以进行资源搜索,提速(偶尔会抽风????) 不要去某站买付费的???? PanDownload下载地址 2.BeJSON 这是一款拥有各种在线工具的网站,推荐它的主要原因是网站简洁,功能齐全,广告相比其他广告好太多了 bejson网站 3.二维码美化 这个网站的二维码美化很好看,网站界面也很...
《程序人生》系列-这个程序员只用了20行代码就拿了冠军
你知道的越多,你不知道的越多 点赞再看,养成习惯GitHub上已经开源https://github.com/JavaFamily,有一线大厂面试点脑图,欢迎Star和完善 前言 这一期不算《吊打面试官》系列的,所有没前言我直接开始。 絮叨 本来应该是没有这期的,看过我上期的小伙伴应该是知道的嘛,双十一比较忙嘛,要值班又要去帮忙拍摄年会的视频素材,还得搞个程序员一天的Vlog,还要写BU
相关热词 c# plc s1200 c#里氏转换原则 c# 主界面 c# do loop c#存为组套 模板 c# 停掉协程 c# rgb 读取图片 c# 图片颜色调整 最快 c#多张图片上传 c#密封类与密封方法
立即提问