問(wèn)題描述

如題，在項(xiàng)目中，單獨(dú)有個(gè)系統(tǒng)作為權(quán)限系統(tǒng)，現(xiàn)在的做法是每次請(qǐng)求業(yè)務(wù)系統(tǒng)，都會(huì)在業(yè)務(wù)系統(tǒng)的攔截其中，把請(qǐng)求的URL傳過(guò)去權(quán)限系統(tǒng)，來(lái)做校驗(yàn)，校驗(yàn)發(fā)起請(qǐng)求的用戶是否有該權(quán)限。

或者也可以從權(quán)限系統(tǒng)那里獲取該用戶的所有權(quán)限到業(yè)務(wù)系統(tǒng)中做校驗(yàn)

無(wú)論哪種做法，感覺(jué)中間都可以篡改，不感覺(jué)很不安全

想問(wèn)一下在分布式系統(tǒng)中如果進(jìn)行權(quán)限校驗(yàn)比較好，謝謝前輩

問(wèn)題解答

樓主的問(wèn)題與權(quán)限無(wú)關(guān)，純粹是接口調(diào)用的安全性。一般做法有：

內(nèi)容明文傳輸，但加上校驗(yàn)碼，校驗(yàn)碼由雙方約定的一個(gè)密鑰生成，篡改者無(wú)法生成正確的校驗(yàn)碼。

使用約定密鑰加密解密整個(gè)傳輸內(nèi)容。

登錄后請(qǐng)求權(quán)限系統(tǒng)，將返回的權(quán)限菜單等信息放入緩存（自己用Map實(shí)現(xiàn)或Nosql，建議Nosql集群。要注意菜單有更新，則先清空用戶的redis數(shù)據(jù)，再將最新的信息同步到redis，redis沒(méi)信息就從數(shù)據(jù)庫(kù)中取），再返回Java Web Token（包括時(shí)間戳、標(biāo)識(shí)等）。

項(xiàng)目安全點(diǎn)就用Https，Spring-Security（訪問(wèn)接口權(quán)限、防CSRF），每個(gè)接口都要驗(yàn)簽，token加時(shí)間戳等。

你這個(gè)有點(diǎn)像OAuth2.0解決的問(wèn)題