У меня есть два приложения, использующих Spring с Feign.
Одна служба - это шлюз с Zuul и Oauth, а у меня есть другая служба приложений, которая выполняет бизнес-правила.
Вся среда функционирует должным образом. Тем не менее, существует проблема с безопасностью этой среды, которая, на мой взгляд, не идеальна.
Чтобы служба приложений могла взаимодействовать со службой шлюза, в yml есть параметр, который сообщает, что URL для доступа к данным пользователя.
Вот конфигурация:
security:
oauth2:
resource:
id: app
userInfoUri: http://localhost:8080/user
Проблема с этой конфигурацией состоит в том, что зарегистрированный пользователь может перечислить всех пользователей системы ( включая логин и пароль), делая простой запрос через почтальона, например.
Я считаю, что должен быть какой-то способ избежать этого или какого-либо другого способа включить эту аутентификацию между двумя сервисами.
Кто-нибудь знает, как решить эту проблему?
Спасибо!