我有一个关于 OAuth2 授权的一般性问题。我观看了Dave Syer 关于微服务安全的精彩教程。据我了解,他建议单个微服务将成为Resource servers。这完全没问题。
我还阅读了spring cloud security中的令牌中继部分,据我了解,当您计划转发令牌(但仅此而已)时,这会让您的生活更轻松。
令牌中继实际上代表用户(或上游服务)。允许哪个资源服务器代表用户执行哪些操作是否有任何限制?因为对我来说,允许用户执行操作这一事实与允许任何资源服务器代表用户执行该操作不同。
我记得在 Kerberos 中进行委派很重要。个别服务通过 SPN 获得他们可以委托的权限(对我来说,设置总是很糟糕,但我理解这是必要的)。
这是 OAuth2 中考虑的实现细节还是我在那里遗漏了一些明显的概念?