ray0728
commented
6 years ago 账户服务里面对关键短点做了实时权限范围判断,后续需要网关服务上根据用户操作内容主动发起刷新token
Open ray0728 opened 6 years ago
ray0728
commented
6 years ago 账户服务里面对关键短点做了实时权限范围判断,后续需要网关服务上根据用户操作内容主动发起刷新token
ray0728
commented
5 years ago 可利用消息机制
当Token中对应的账号,在Account DB中发生(权限、角色)改变后,已发布的Token无法验证此种情况。 典型场景: 账号A具有Admin权限,通过AUTH发布的Token包含Admin信息,如果之后账号A被取消Admin权限,通过之前所发布的Token依然可以通过hasRole(Admin)验证从而访问已不应该访问的数据。