微服务安全认证与授权实战
📘 30章 · 从入门到综合
01
微服务安全概述
新威胁
为什么传统单体安全模型失效?微服务面临的新威胁与挑战。
02
认证与授权基础
核心概念
什么是认证?什么是授权?核心概念辨析。
03
JWT原理与实战
Token
JWT结构、签发与验证流程,微服务使用场景。
04
OAuth2.0授权框架
四种模式
授权码、隐式、密码、客户端凭证,如何选择。
05
OAuth2.0实战
Spring Security
搭建授权服务器与资源服务器,基于Spring Security。
06
OpenID Connect
SSO
身份层、ID Token、UserInfo端点,单点登录。
07
API网关安全
安全边界
统一认证、限流、黑白名单,Spring Cloud Gateway实战。
08
Spring Security核心
过滤器链
过滤器链机制、SecurityContextHolder、AuthenticationProvider。
09
Spring Security实战
JWT无状态
基于JWT无状态认证配置,自定义过滤器,异常处理。
10
RBAC权限模型
角色访问
用户-角色-权限关系设计,数据库表结构。
11
ABAC权限模型
属性控制
基于属性的访问控制,优势与策略引擎思路。
12
权限数据缓存
Redis
缓存用户权限,穿透/击穿/雪崩应对。
13
服务间认证
mTLS
内部服务安全认证,mTLS与服务账户。
14
mTLS实战
证书互认
基于证书的相互认证,cert-manager,Kubernetes部署。
15
Token中继与传播
Feign/gRPC
用户Token服务间传递,Feign拦截器、gRPC拦截器。
16
分布式Session管理
集中式
传统Session问题,基于Redis集中式Session方案。
17
CSRF与CORS防护
SameSite
跨站请求伪造原理,SameSite Cookie,CORS最佳实践。
18
SQL注入与XSS防护
OWASP
输入校验、参数化查询、输出编码,OWASP Top 10。
19
安全日志与审计
ELK/EFK
关键操作日志,ELK/EFK收集,审计追踪。
20
密钥管理
Vault
密钥轮换、存储安全、HashiCorp Vault、配置中心。
21
安全配置中心
Nacos
Spring Cloud Config/Nacos管理敏感配置,加密存储。
22
容器安全
镜像签名
Docker镜像安全扫描、最小权限、非root运行、签名。
23
Kubernetes安全
Pod安全
PSP/PSS、NetworkPolicy、RBAC在K8s配置。
24
服务网格安全
Istio
Istio安全架构,mTLS自动注入,AuthorizationPolicy。
25
API安全设计
最佳实践
RESTful API安全,限流、参数校验、幂等性。
26
GraphQL安全
深度限制
查询复杂度分析、持久化查询、权限校验。
27
消息队列安全
Kafka/RabbitMQ
认证授权、TLS加密、消息签名。
28
安全测试
渗透测试
OWASP ZAP、依赖漏洞扫描(Snyk/Dependabot)。
29
合规与隐私
GDPR/等保
GDPR、等保2.0要求,数据脱敏与加密存储。
30
综合实战
端到端安全
构建完整微服务安全体系:认证、授权、网关、监控。