UI 微服务 - 没有安全性有什么影响吗？

Question

这可能是非常愚蠢的。

它们是否对拥有一个仅提供没有安全性的 UI 的微服务有任何影响？

我在网关级别具有安全性，UI 微服务只是为 Web 应用程序提供服务，应用程序中没有我想要保护的内容。我可以尽可能确保只有网关可以直接调用它，不允许其他来源访问。

我的课程路径上有 Spring-Security，但我使用以下方法禁用了它：

application.yml

security:
  basic:
    enabled: false

management:
  security:
    enabled: false

我没有对安全配置进行任何配置更改，例如此服务没有扩展 WebSecurityConfigurerAdapter 的类。

此服务不调用任何其他内容，它只是为 /resource/public 中包含的 Angular 应用程序提供服务：

@RestController
public class AngularApplicationController {

      // serve UI
      @GetMapping(value = "/{path:[^\\.]*}")
      public String redirect() {
        return "forward:/";
      }

}

Answer 1

首先，这不是一个超级愚蠢的问题。正如我们所知，使用微服务并没有任何固定的模式或设计考虑因素，因此它始终取决于什么对我们的架构来说是完美的。

根据您提供的详细信息，不会有任何影响。正如您还提到的，确保只有网关可以直接调用它，不允许其他来源访问和访问数据不需要任何类型的应用程序角色。

要了解更多关于微服务安全的信息，您可以查看Microservice's Security Questions。希望这些信息对您有所帮助。

Answer 2

只要您对未登录用户能够浏览 UI 任何部分的代码感到满意，就可以了。如果用户未登录或缺少所需角色，则使用安全性可以阻止对 UI 某些部分的访问。