2、微服务架构与实践高级篇高级篇第2节microservice_security.pdfVIP

微服务架构与实践 - Security 课程⽬标 ■ 安全综述 ■ 微服务架构的安全 ■ OAuth2、SAML和JWT ■ 使⽤Spring Security实现OAuth 2.0 ■ 安全实践 2 课程⽬标 ■ 安全综述 ■ 微服务架构的安全 ■ OAuth2、SAML和JWT ■ 使⽤Spring Security实现OAuth 2.0 ■ 安全实践 3 Security Maers! - Unl Something Happen ■ 财务损失 ■ 企业名誉损失 ■ 法律⻛险 ■ 竞争⼒降低 4 威胁建模 ■ 构建的是什么应⽤ ■ 这些应⽤的那些地⽅可能出问题 ■ 发现错误的时候应对的⼿段有哪些 ■ 上⾯的 是否完整 5 构建的是什么应⽤ ⽤户/ 边界 登录请求 验证⽤户身份 ⽤户 认证服 务器 返回⻚⾯ 返回验证结果 加载⻚⾯ SQL /数据库 边界 加载数据库⽂件 ⻚⾯⽂件 认证数 据库 数据库⽂件 STRIDE模型 •Spoofing - •Tamper - 篡改 • Repudiation - 否认、抵赖 • Information disclosure - 泄露 • Deny of service - 拒绝服务 • Elevation of privilege - 权限提升 应对措施 ■ 缓解 ■ 采取措施让别⼈难以利⽤威胁，⽐如hash