首先配置CORS解决跨域,再通过JWT实现无状态认证,微服务间采用OAuth2客户端凭证模式确保安全调用,同时结合HTTPS、限流、日志与最小权限原则构建整体安全体系。
微服务架构下,服务之间经常需要跨域通信,同时要确保接口的安全性。常见的场景是前端请求后端微服务,或微服务之间通过HTTP调用交互。跨域问题通常出现在浏览器层面,而接口安全则贯穿整个系统设计。
跨域请求(CORS)配置示例
当使用浏览器从前端应用访问不同域名的微服务时,会触发同源策略限制。需在服务端显式支持CORS。
以Spring Boot为例,可在配置类中启用CORS:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOriginPatterns(Arrays.asList("*"));
configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS"));
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setAllowCredentials(true);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
说明:
- setAllowedOriginPatterns:允许来自任意源的请求,生产环境应指定具体域名
- setAllowedMethods:定义允许的HTTP方法
- setAllowCredentials:支持携带Cookie等认证信息
接口安全:JWT身份验证机制
微服务间或前后端通信应避免使用Session,推荐使用无状态的JWT进行身份认证。
典型流程:
- 用户登录成功后,服务端生成JWT令牌并返回给客户端
- 后续请求携带该Token在Authorization头中
- 各微服务通过公共密钥或共享密钥验证Token有效性
示例代码片段(生成JWT):
public String generateToken(String username) {
return Jwts.builder()
.setSubject(username)
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + 86400000))
.signWith(SignatureAlgorithm.HS512, "secretKey")
.compact();
}
在网关或服务入口处校验Token:
- 解析Authorization头中的Bearer Token
- 验证签名、过期时间、签发者等信息
- 将用户信息存入上下文供业务逻辑使用
服务间调用安全:OAuth2 + 客户端凭证模式
微服务之间通信建议使用OAuth2的client_credentials模式,避免暴露用户级Token。
流程简述:
- 服务A向授权服务器申请访问令牌,提供client_id和client_secret
- 授权服务器验证后返回access_token
- 服务A调用服务B时,在Header中携带该Token
- 服务B通过内建校验逻辑或远程检查确认Token合法性
优势:
- 不依赖用户身份,适合后台服务调用
- 可设置细粒度权限范围(scope)
- 支持令牌自动刷新与失效控制
其他安全建议
除了CORS和认证机制,还需关注以下方面:
- 敏感接口启用HTTPS传输加密
- 限制请求频率,防止滥用(如使用Redis实现限流)
- 日志记录关键操作,便于审计追踪
- 定期轮换密钥和证书
- 最小权限原则:每个服务只拥有必要权限
基本上就这些。跨域和接口安全不是一次性配置,而是需要结合架构持续优化的过程。关键是建立统一的认证体系和标准化的服务交互规范。
