2. 程式人生 > >Spring Cloud下微服務許可權方案

Spring Cloud下微服務許可權方案

阿新 發佈:2018-11-06

背景
從傳統的單體應用轉型Spring Cloud的朋友都在問我,Spring Cloud下的微服務許可權怎麼管?怎麼設計比較合理?從大層面講叫服務許可權,往小處拆分,分別為三塊:使用者認證、使用者許可權、服務校驗。

使用者認證
傳統的單體應用可能習慣了session的存在,而到了Spring cloud的微服務化後,session雖然可以採取分散式會話來解決,但終究不是上上策。開始有人推行Spring Cloud Security結合很好的OAuth2,後面為了優化OAuth 2中Access Token的儲存問題,提高後端服務的可用性和擴充套件性,有了更好Token驗證方式JWT(JSON Web Token)。這裡要強調一點的是,OAuth2和JWT這兩個根本沒有可比性,是兩個完全不同的東西。
OAuth2是一種授權框架,而JWT是一種認證協議

OAuth2認證框架
OAuth2中包含四個角色:
資源擁有者(Resource Owner)
資源伺服器(Resource Server)
授權伺服器(Authorization Server)
客戶端(Client)
OAuth2包含4種授權模式
授權碼(認證碼)模式 (Authorization code)
簡化(隱形)模式 (Impilict
使用者名稱密碼模式 (Resource Owner Password Credential)
客戶端模式 (Client Credential)
其中,OAuth2的執行流程如下圖,摘自RFC 6749:

+--------+ +---------------+
| |--(A)- Authorization Request ->| Resource |
| | | Owner |
| |<-(B)-- Authorization Grant ---| |
| | +---------------+
| |
| | +---------------+
| |--(C)-- Authorization Grant -->| Authorization |
| Client | | Server |
| |<-(D)----- Access Token -------| |
| | +---------------+
| |
| | +---------------+
| |--(E)----- Access Token ------>| Resource |
| | | Server |
| |<-(F)--- Protected Resource ---| |
+--------+ +---------------+
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
我們在Spring Cloud OAuth2中,所有訪問微服務資源的請求都在Http Header中攜帶Token,被訪問的服務接下來再去請求授權伺服器驗證Token的有效性,目前這種方式,我們需要兩次或者更多次的請求,所有的Token有效性校驗都落在的授權伺服器上,對於我們系統的水平擴充套件成為一個非常大的瓶頸。

JWT認證協議
授權伺服器將使用者資訊和授權範圍序列化後放入一個JSON字串,然後使用Base64進行編碼,最終在授權伺服器用私鑰對這個字串進行簽名,得到一個JSON Web Token。

假設其他所有的資源伺服器都將持有一個RSA公鑰,當資源伺服器接收到這個在Http Header中存有Token的請求,資源伺服器就可以拿到這個Token,並驗證它是否使用正確的私鑰簽名(是否經過授權伺服器簽名,也就是驗籤)。驗籤通過,反序列化後就拿到Toekn中包含的有效驗證資訊。

其中,主體運作流程圖如下:

+-----------+ +-------------+
| | 1-Request Authorization | |
| |------------------------------------>| |
| | grant_type&username&password | |--+
| | |Authorization| | 2-Gen
| | |Service | | JWT
| | 3-Response Authorization | |<-+
| |<------------------------------------| Private Key |
| | access_token / refresh_token | |
| | token_type / expire_in | |
| Client | +-------------+
| |
| | +-------------+
| | 4-Request Resource | |
| |-----------------------------------> | |
| | Authorization: bearer Access Token | |--+
| | | Resource | | 5-Verify
| | | Service | | Token
| | 6-Response Resource | |<-+
| |<----------------------------------- | Public Key |
+-----------+ +-------------+
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
通過上述的方式,我們可以很好地完成服務化後的使用者認證。

使用者許可權
傳統的單體應用的許可權攔截,大家都喜歡shiro,而且用的頗為順手。可是一旦拆分後,這許可權開始分散在各個API了,shiro還好使嗎?筆者在專案中,並沒有用shiro。前後端分離後,互動都是token,後端的服務無狀態化,前端按鈕資源化,許可權放哪兒管好使?

抽象與設計
在介紹靈活的核心設計前,先給大家普及一個入門的概念:RBAC(Role-Based Access Control,基於角色的訪問控制),就是使用者通過角色與許可權進行關聯。簡單地說,一個使用者擁有若干角色,每一個角色擁有若干許可權。

RBAC其實是一種分析模型,主要分為:基本模型RBAC0(Core RBAC)、角色分層模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和統一模型RBAC3(Combines RBAC)。

更多詳情大家可以瞭解:RBAC許可權模型

核心UML

這是筆者通過多種業務場景後抽象的RBAC關係圖

類說明
Group
群或組,擁有一定數量許可權的集合,亦可以是許可權的載體。

子類:User(使用者)、Role(角色)、Position(崗位)、Unit(部門),通過使用者的特定構成,形成不同業務場景的群或組,而通過對群或組的父類授權,完成了使用者的許可權獲取。

Permission
許可權,擁有一定數量資源的整合,亦可以是資源的載體。

Resources
許可權下有資源,資源的來源有:Menu(選單)、Button(動作許可權)、頁面元素(按鈕、tab等)、資料許可權等

Program
程式,相關許可權控制的呈現載體,可以在多個選單中掛載。

常見web程式基本構成


模型與微服務的關係
如果把Spring Cloud服務化後的所有api介面都定義為上文的Resources,那麼我們可以看到這麼一個情況。

比如一個使用者的增刪改查,我們的頁面會這麼做


頁面元素 資源編碼 資源URI 資源請求方式
查詢 user_btn_get /api/user/{id} GET
增加 user_btn_add /api/user POST
編輯 user_btn_edit /api/user/{id} PUT
刪除 user_btn_del /api/user/{id} DELETE
在抽象成上述的對映關係後,我們的前後端的資源有了參照,我們對於使用者組的許可權授權就容易了。比如我授予一個使用者增加、刪除許可權。在前端我們只需要檢驗該資源編碼的有無就可以控制按鈕的顯示和隱藏,而在後端我們只需要統一攔截判斷該使用者是否具有URI和對應請求方式即可。

至於許可權的統一攔截是放置在Zuul這個閘道器上,還是落在具體的後端服務的攔截器上(Filter、Inteceptor),都可以輕而易舉地實現。不在侷限於程式碼的侵入性。放置Zuul流程圖如下:


要是許可權的統一攔截放置在Zuul上,會有一個問題,那就是後端服務安不安全,服務只需要通過註冊中心,即可對其他服務進行呼叫。這裡就涉及到後面的第三個模組,服務之間的鑑權。

服務之間的鑑權
因為我們都知道服務之間開源通過註冊中心尋到客戶端後,直接遠端過程呼叫的。對於生產上的各個服務,一個個敏感性的介面,我們更是需要加以保護。主題的流程如下圖:


筆者的實現方式是基於Spring Cloud的FeignClient Inteceprot(自動申請服務token、傳遞當前上下文)和Mvc Inteceptor(服務token校驗、更新當前上下文)來實現,從而對服務的安全性做進一步保護。

結合Spring Cloud的特性後,整體流程圖如下:


優化點
雖然通過上述的使用者合法性檢驗、使用者許可權攔截以及服務之間的鑑權,保證了Api介面的安全性,但是其間的Http訪問頻率是比較高的,請求數量上來的時候,慢的問題是就會特別明顯。可以考慮一定的優化策略,比如使用者許可權快取、服務授權資訊的派發與混存、定時重新整理服務鑑權Token等。

結語
上述是筆者在專案裡的大體思路,有興趣的朋友可以借鑑我的開源專案,歡迎star:
- gitchina:https://gitee.com/minull/ace-security(Jwt、使用者許可權)
- github:https://github.com/wxiaoqi/ace-security
- gitchina:http://git.oschina.net/geek_qi/ace-gate(服務鑑權)

知識索取
想獲取更多微服務知識和文章,歡迎關注老A公眾號,帶你更懂微服務。
---------------------
作者:江離
來源:CSDN
原文:https://blog.csdn.net/u011282930/article/details/80131534
版權宣告:本文為博主原創文章,轉載請附上博文連結!

相關推薦

Spring Cloud服務許可權方案

背景從傳統的單體應用轉型Spring Cloud的朋友都在問我,Spring Cloud下的微服務許可權怎麼管?怎麼設計比較合理?從大層面講叫服務許可權,往小處拆分,分別為三塊:使用者認證、使用者許可權、服務校驗。 使用者認證傳統的單體應用可能習慣了session的存在,而到了Spring cloud的微服

Spring Cloud服務權限方案

resource amp .net put 方式 服務器驗證 ase 轉型 btn 背景從傳統的單體應用轉型Spring Cloud的朋友都在問我,Spring Cloud下的微服務權限怎麽管?怎麽設計比較合理?從大層面講叫服務權限,往小處拆分,分別為三塊:用戶認證、用戶權

Spring Cloud服務架構選型方案

1、技術架構 2、元件介紹 1、服務註冊與發現——Eureka 服務註冊與發現中心採用Eureka,以AP為核心的高可用註冊中心,保證高可用性和最終一致性,server之間互相註冊的replicate機制可以單點註冊、全域性感知,通過叢集式部署來避免單點故障導致服務不可用。

基於 Spring Cloud服務架構實踐指南(

show me the code and talk to me,做的出來更要說的明白 本文原始碼,請點選 learnSpringCloud 我是布林bl,你的支援是我分享的動力! 一、引入 上回 基於 Spring Cloud 的微服務架構實踐指南(上) 介紹了 Spring Cloud 的常見元件,我們

基於Spring Cloud服務構建學習-2 Spring Boot

html art ann 發布 class start pid 問題 需要 基於Spring Cloud的微服務構建學習-2 Spring Boot 為什麽使用Spring Boot而不是Spring   Spring Boot具有自動化配置,快速開發,輕松部署優點,非

Spring-Boot:Spring Cloud構建服務架構

xmlns art 超時 客戶 微服務架構 cover lns created 搭建 概述:   從上一篇博客《Spring-boot:5分鐘整合Dubbo構建分布式服務》 過度到Spring Cloud,我們將開始學習如何使用Spring Cloud 來搭建微服務。繼續采

使用Spring Cloud搭建服務

code 服務 stat serve from interface odi 1.8 net 如果想了解Spring Cloud架構的可以看這裏 http://www.cnblogs.com/ilinuxer/p/6580998.html 這篇文章只講利用該框架來搭建微服務中

Spring Cloud構建服務架構分布式配置中心

post ast github 構造 clas mas files cli .class 在本文中,我們將學習如何構建一個基於Git存儲的分布式配置中心,並對客戶端進行改造,並讓其能夠從配置中心獲取配置信息並綁定到代碼中的整個過程。 準備配置倉庫 準備一個git倉庫,可

0201-開始使用Spring Cloud實戰服務準備工作

scala 技術 href spring tool 使用 pro too 服務 1、Spring Cloud是什麽   基於spring boot,之上快速構建分布式系統的工具集 2、關於Spring Cloud的版本   大部分spring軟件的版本是以:主版本.次

Spring Cloud企業服務分布式雲架構技術點整合

springcloud springboot spring spring cloud本身提供的組件就很多,但我們需要按照企業的業務模式來定制企業所需要的通用架構... 下面我針對於spring cloud微服務分布式雲架構做了以下技術總結,希望可以幫助到大家: View: H5、Vue.js、Sp

Spring Cloud構建服務架構—創建“服務註冊中心”

springboot springcloud mybatis eureka config 創建一個基礎的Spring Boot工程,命名為eureka-server,並在pom.xml中引入需要的依賴內容: <parent> <groupId>org.springf

Spring Cloud構建服務架構服務註冊與發現

springboot springcloud mybatis eureka config Spring Cloud簡介Spring Cloud是一個基於Spring Boot實現的雲應用開發工具,它為基於JVM的雲應用開發中涉及的配置管理、服務發現、斷路器、智能路由、微代理、控制總線、全局

Spring Cloud構建服務架構-創建“服務提供方”

spring Spring Cloud Spring Boot config 下面我們創建提供服務的客戶端,並向服務註冊中心註冊自己。本文我們主要介紹服務的註冊與發現,所以我們不妨在服務提供方中嘗試著提供一個接口來獲取當前所有的服務信息。 首先,創建一個基本的Spring Boot應用。命名為

Spring Cloud構建服務架構—服務網關過濾器

Spring Cloud Spring Boot mybatis 過濾器作用 我們的微服務應用提供的接口就可以通過統一的API網關入口被客戶端訪問到了。但是,每個客戶端用戶請求微服務應用提供的接口時,它們的訪問權限往往都需要有一定的限制,系統並不會將所有的微服務接口都對它們開放。然而,目前的服務路

Spring Cloud構建服務架構Hystrix監控面板

Spring Cloud Spring Boot mybatis 在Spring Cloud中構建一個Hystrix Dashboard非常簡單,只需要下面四步: 創建一個標準的Spring Boot工程,命名為:hystrix-dashboard。編輯pom.xml,具體依賴內容如下: <

Spring Cloud構建服務架構—服務消費(Ribbon)

ble DG 沒有 客戶 BE pla cati str 主類 Spring Cloud RibbonSpring Cloud Ribbon是基於Netflix Ribbon實現的一套客戶端負載均衡的工具。它是一個基於HTTP和TCP的客戶端負載均衡器。它可以通過在客戶端中

Spring Cloud構建服務架構:服務消費(基礎)

消費 ring str frame emp default class a template pom.xml 使用LoadBalancerClient在Spring Cloud Commons中提供了大量的與服務治理相關的抽象接口,包括DiscoveryClient、這裏我

Spring Cloud構建服務架構—Hystrix斷路器

能夠 電路 處理 觸發 就會 熔斷器 邏輯 響應 保險絲 斷路器模式源於Martin Fowler的Circuit Breaker一文。“斷路器”本身是一種開關裝置,用於在電路上保護線路過載,當線路中有電器發生短路時,“斷路器”能夠及時的切斷故障電路,防止發生過載、發熱、甚

Spring Cloud構建服務架構-Hystrix服務降級

static 原因 架構 一個個 policy 消費者 兩個 comm 以及 在微服務架構中,我們將系統拆分成了一個個的服務單元,各單元應用間通過服務註冊與訂閱的方式互相依賴。由於每個單元都在不同的進程中運行,依賴通過遠程調用的方式執行,這樣就有可能因為網絡原因或是依賴服務

spring cloud服務之間的調用以及eureka的自我保護機制

技術 頁面 dba mapping arch 之間 tga build ng- 上篇講了spring cloud註冊中心及客戶端的註冊,所以這篇主要講一下服務和服務之間是怎樣調用的 不會搭建的小夥伴請參考我上一篇博客:idea快速搭建spring cloud-註冊中心與註冊