既然开帖了,大家来说说经常被误用的架构/模式/概念,欢迎大家补充。
1. oauth2 用密码模式来做登录,背离了 oauth 是为第三方授权设计的目标。
2. 对"jwt+登录/鉴权"声称无状态,却需要维护"黑名单"状态来实现登出、防止身份/鉴权信息陈旧等功能。
3. 微服务,这个不多说了,原因也能理解,面试,个人技能提升啥的确实也需要,但客观上该不该用相信大家 dddd 。
1. oauth2 用密码模式来做登录,背离了 oauth 是为第三方授权设计的目标。
2. 对"jwt+登录/鉴权"声称无状态,却需要维护"黑名单"状态来实现登出、防止身份/鉴权信息陈旧等功能。
3. 微服务,这个不多说了,原因也能理解,面试,个人技能提升啥的确实也需要,但客观上该不该用相信大家 dddd 。
3 条回复 • 2024-06-09 21:34:56 +08:00
 |
1
RicardoY 9 天前
第一个问题,对于服务化的授权/认证中心来说,别的服务都可以认为是第三方。
第二个问题,如果要实现凭证的吊销,始终需要保存额外的状态的,只不过说黑名单确实不是一个好的设计。 第三个问题,主要是很多实践中没有按照领域进行服务拆分,没有做到高内聚低耦合,SOA 本身是没有什么问题的。 |
 |
2
epiloguess 9 天前
这本书很不错,https://thecopenhagenbook.com/ ,jwt 的争议太多,然而反对者并没有提出更好的解决方案 ...
|
 |
3
giiiiiithub OP @epiloguess 什么更好的解决方案?不是 jwt+登录号称无状态却又要维护黑名单状态来取代传统 session 方案的么。
|
Select Language