为什么很多的开源的微服务项目都是用oAuth2.0+jwt来做权限校验? 单独的jwt不是也可以做登录和权限校验的吗?
因为jwt可以把用户的权限信息保存起来,每次用户访问的时候通过网关做JWT验证,验证合法后,再解析出里面的权限信息,然后再判断是否允许用户操作某个微服务方法。这样不是更加简单吗?
为什么还要使用oAuth2.0生成token令牌,然后又是公钥和私钥,然后每个微服务都需要对这个token令牌做校验,这样不是很麻烦吗?
在微服务架构中,网关不就是一个统一认证权限校验的地方吗,为什么不这样做
与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…