タイトルの通りですが、プロジェクト内では権限システムとして別のシステムがあり、業務システムへのリクエストはその都度業務システムとリクエストされたURLでインターセプトするというのが現状です。は検証のために権限システムに渡されます。リクエストを行ったユーザーに権限があるかどうかを確認してください。
または、権限システムからユーザーのすべての権限を取得し、ビジネス システムで検証することもできます
どの方法を使っても途中で改ざんできるような気がしますし、それほど危険な感じはしません
分散システムで権限検証を行った方が良いのかお聞きしたいのですが、先輩、ありがとうございます
投稿者の問題は権限とは関係なく、純粋にインターフェース呼び出しのセキュリティの問題です。一般的な方法は次のとおりです:
コンテンツは平文で送信されますが、チェック コードは双方が合意したキーによって生成されます。改ざん者は正しいチェック コードを生成できません。
合意されたキーを使用して送信全体を暗号化および復号化します。
ログイン後、権限システムをリクエストし、返された権限メニューとその他の情報をキャッシュに入れます (Map または Nosql を使用して自分で実装します。Nosql クラスターを使用することをお勧めします。メニューが更新された場合は、最初にユーザーの Redis データを取得し、次に最新の情報を Redis に同期します。情報がない場合、Redis はデータベースから情報を取得します)。その後、Java Web トークン (タイムスタンプ、ID などを含む) を返します。
HTTPS と Spring-Security (アクセス インターフェイスのアクセス許可、CSRF 防止) は、プロジェクトのセキュリティに使用され、各インターフェイスに署名され、トークンにタイムスタンプが付けられる必要があります。
これはOAuth2.0で解決された問題と少し似ています