在主流的前后端分离架构中，如何通过有效快速的认证鉴权来保护后端提供的restful api变得尤为重要。对现存框架，不原生支持rest的apache shiro，还是深度绑定spring，较慢性能，学习曲线陡峭的spring security，或多或少都不是我们的理想型。 于是乎sureness诞生了，我们希望能解决这些，提供一个面向restful api，无框...

在现在主流的前后端分离的系统中，或者是专注于提供api服务的系统，如何保护好所提供的后端restful api，使得非常重要。保护api的方面很多，限流，防刷，校验可以说都是保护，今天来谈谈很重要的api的认证鉴权保护，大概的思路。需求两点:首先认证 -- 我们可以配置哪些api需要用户认证通过才能访问哪些可以直接访问，还...

首先说明设计的这个安全体系是是RBAC(基于角色的权限访问控制)授权模型，即用户--角色--资源，用户不直接和权限打交道，角色拥有资源，用户拥有这个角色就有权使用角色所用户的资源。所有这里没有权限一说，签发jwt里面也就只有用户所拥有的角色而没有权限。