Predix微服务架构下的用户对微服务权限控制实践

最新推荐文章于 2023-09-16 09:22:54 发布
最新推荐文章于 2023-09-16 09:22:54 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Predix云 文章标签: cloud foundry 架构 安全 架构设计 扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PredixCN/article/details/74643483
版权

作者: 周睿| 软件工程师 |GE数字集团

微服务架构是当下最流行的架构设计思想之一,其优势是服务解耦,单个服务灵活扩展等等。软件行业有句俗话–”没有银弹”,一个架构或者技术在解决一些问题的时候,必然也会带来一些问题,其中问题之一就是如何控制用户对微服务,微服务和微服务之间的访问权限控制。

Predix自身借助于Cloud Foundry,已内置了一个强大的OAuth2认证服务UAA。借助UAA,在Predix上就可以方便的解决微服务架构下的权限控制问题。

首先,访问控制的设计场景是:
1. 用户并不可以访问所有的微服务,而是根据收费策略或业务要求而定,部分可访问,部分不可访问,并且可以及时的修改控制。
2. 服务和服务之间的请求使用用户的身份,而并非服务的身份,方便进行操作记录审计,避免发生提权漏洞的发生。

为了满足这些场景,我们可以使用UAA产生的Token机制来轻松的实现一个灵活的用户对微服务的权限控制策略。

举个例子,假设我们有:
- 入口微服务: service0
- 后端微服务: service1, service2, service3

用户:
- user1
- user2

user1和user2都通过service0作为访问入口。user1可以访问service1, user2可以访问service2。service1和service2都会分别以user1, user2的身份访问service3。

在UAA中,首先,为入口服务创建一个client_id和client_secret,用于用户OAuth登录,获取Token:
- client_id0: secret

然后为每一个服务创建一个用户组:
- group_service0
- group_service1
- group_service2
- group_service3

为client_id0配置上scope和authorize: group_service0, group_service1, group_service2, group_service3。

把user1添加到group_service0, group_service1, group_service3中,
把user2添加到group_service0, group_service2, group_service3中。

service0负责和UAA服务完成OAuth过程,获取到User Token和Refresh Token。然后service0向service1, service2发送的所有请求,都把两个Token带在HTTP Header中。service1和service2向service3发送的请求中也要带着两个Token。User Token用于权限检查,但是因为User Token有失效时间,如果要在后台配置定时或长时间执行的任务,就需要Refresh Token在过期以后换取新的User Token。

每个微服务在接收到请求时,都读取HTTP Header中的token,并向UAA验证Token是否合法,然后分别检查Token中的信息。
service1在接收到请求时,检查scope中包含自己需要的group: group_service1,如果存在,就接受这个请求,如果不存在,就驳回请求。
service2在接收到请求时,检查scope中包含自己需要的group: group_service2,如果存在,就接受这个请求,如果不存在,就驳回请求。
service3在接收到请求时,检查scope中包含自己需要的group: group_service3,如果存在,就接受这个请求,如果不存在,就驳回请求。

User1的User Token里包含scope: group_service1, group_service3, 所以可以访问service1, service3, 不可以访问service2。
User2的User Token中包含scope: group_service2, group_service3,所以可以访问service2, service3,不可以访问service1。

以上例子就是如何用UAA中的User Token,client和group来解决微服务架构下,用户对微服务权限控制的简便方法。其优点是:

  1. 每个微服务只要检查自己需要的scope就可以了,当一个请求会触发请求另一个微服务时,也不需要关心用户是否有另一个微服务的权限,只要把原始请求的User Token传递下去, 处理逻辑比较简单明了。
  2. 入口服务service0不需要存储和处理用户对微服务的权限,只需要把获取的Token原封不动的传递下去,把用户权限的配置信息统一保存在UAA中。
  3. 整个流程不需要复杂的代码实现,仅仅利用了OAuth Token自身的机制。
  4. 各个服务可以通过User Token很容易的进行用户操作审计。
  5. 用户对微服务的权限可以根据收费策略或业务要求进行灵活调整。
PredixCN
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务动态权限管理方案(Spring Cloud Gateway+Spring Cloud Security)
weixin_43349057的博客
03-08 1952
基于Spring Cloud Gateway和Spring Cloud Security的微服务用户动态权限管理方案
史上最全的微服务权限控制方案
m0_73311735的博客
12-31 1720
1、将shrio和网关gateway放在同一个服务中,但是这就带来一个问题,众所周知,shrio的数据中心realm需要用到用户服务当中的数据(查询用户、角色、权限之间的关系及数据),因此这里shrio就需要使用服务发现组件(我这里用的dubbo)去发现用户服务,但是用户服务中的登录又需要用到shrio的认证,到这里可能有人要说了,可以在用户服务中再去远程调用shrio服务啊,如果这种方法可以的话大家就可以用这种方法就不用往下看了…所以这就造成两个服务耦合在一块儿去了,这种方法直接pass掉。
史上最全的微服务权限控制方案,完美实现!
weixin_44421461的博客
01-08 977
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
微服务下怎么做权限管理
最新发布
xby18772963985的博客
09-16 548
(2)鉴权单体应用一般会通过拦截器(Spring Security、Apache Shrio本质上都是拦截器),拦截用户请求,这里同样会根据鉴权方案是JWT还是HTTP会话分别处理,如果是JWT的话,则会通过解密来获得用户信息,如果是采用的会话的方式,则会根据会话ID,从存储中(这里一般是Redis)来获得用户信息,不论是哪种方案,最终都是根据用户信息来对相应的请求进行权限校验。诸如此类的鉴权方式,我个人是不太推荐的,当然采用此类鉴权方式的团队可能也有他们的考虑,更多的可能是出于性能的考虑。
SpringCloud微服务权限控制(一)概述
热门推荐
weihao_的博客
09-27 6万+
从单体应用到SOA应用再到Spring Cloud微服务构架,应用的安全访问都是非常重要的问题,怎么样设计微服务权限控制?首先,权限控制可以分为三个部分:用户认证,服务权限用户权限用户认证 用户认证,简单的讲,可以简化为应用对用户登录状态的认证。传统的单体应用,使用session来进行用户认证,但是这种方式已经不适合微服务的场景了;微服务的结构下,可以通过分布式session来解决,也...
GE_Predix_Architecture_and_Services
12-28
GE 工业自动化 业界标准 架构 微服务 Predix is a comprehensive, modern platform with components that span from the machine to the cloud to enable industrial use cases.
GE Predix Architecture Document
12-14
GE官方提供的Predix架构指南,方方面面非常详细。
predix-ui:React非官方的预测设计系统组件
05-08
predix-ui 实现Predix设计系统CSS的非官方React组件。 有关Predix UI的更多信息,请访问 为什么? 那么predix-ui库是使用Polymer构建的。 这个项目试图将那些组件带入React。 用法 要使用此库,只需将其与npm或...
GE Predix 新手入门_赵锴_物联网_IoT
03-03
基于Predix命令行,介绍新手如何使用GE Predix
Predix工业互联网平台
05-02
Predix工业互联网平台,美国GE公司早在2012年就率先提出工业互联网平台,预计在未来的15年,工业物联网(IIoT)投资将高达60万亿美元,并且到2020年,超过500亿美元的资产将链接至互联网。
不是吧!你还不会在微服务中如何设计一个权限授权服务
weixin_47083537的博客
06-24 386
基于角色的访问控制 (RBAC) 是将系统访问限制为授权用户的一种方法,是围绕角色和特权定义的与策略无关的访问控制机制,RBAC的组件使执行用户分配变得很简单。 在组织内部,将为各种职务创建角色。执行某些操作的权限已分配给特定角色。成员或职员(或其他系统用户)被分配了特定角色,并且通过这些角色分配获得执行特定系统功能所需的权限。由于未直接为用户分配权限,而是仅通过其角色(一个或多个角色)获取权限,因此,对单个用户权限的管理就变成了简单地为用户帐户分配适当角色的问题。这简化了常见操作,例如添加用户或更改用户
全网最全面的『分布式微服务权限设计』
m0_71777195的博客
07-10 163
先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security。看了下对比,都说shrio比较轻量,比较好用,然后我也就选择了shrio来做整个项目的权限框架,同时结合网上大佬做过的一些spring boot+shrio整合案例。只能说大家图都画的挺好的…,看着大家的功能流程图仔细想想是那么回事,然后自己再实践就走不动了,各种坑都有啊。。。,回归到具体实现真的是步步都是坑。
SpringSecurity 学习笔记 下(微服务权限方案)
.G();的博客
04-17 1633
SpringSecurity 学习笔记(微服务权限方案)
四、springSecurity 微服务权限方案
xxx_live_anyd的博客
11-05 1716
springSecurity 微服务权限方案
看懂GE Predix ,就看懂了工业互联网
人工智能学家
01-22 1万+
来源:小黑羊JoinWings概要:Predix是GE推出的针对整个工业领域的基础性系统平台,这是一个开放的平台,它可以应用在工业制造、能源、医疗等各个领域。Predix是GE推出的针对整个工业领域的基础性系统平台,这是一个开放的平台,它可以应用在工业制造、能源、医疗等各个领域。随着工业数字化转型的大潮涌起,似乎Predix成为了一个绕不过去的“关键词”,言必称“我比Predix如何如何”、“我要
【Spring Cloud】Spring Cloud Oauth2 + Gateway 微服务权限管理方案
人生何事不浮云
07-21 6136
Spring Cloud 微服务权限解决方案,通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。通过建立用户组-用户-角色-资源之间的关系进行权限管理。
史上最全面的分布式微服务权限控制、会话管理的详细设计和实现
一往无前的博客
12-01 7917
传统的单体架构我们都知道直接用拦截器拦截用户请求再结合shrio、spring security等就可以做出相应的权限控制。但如果现在将服务拆分成多个微服务,又该怎么设计相应的权限架构
SpringSecurity之微服务权限方案
Java追求者的博客
05-26 713
1. 什么是微服务 1.1 微服务由来 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2 微服务优势 (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对
设备诊断知识图谱成功案例
06-08
1. 通用电气公司 (GE):GE 的 Predix 平台是一个基于云计算和人工智能技术构建的设备诊断知识图谱。它可以对设备进行智能监控和诊断,预测和预防故障,提高设备可靠性和运行效率。 2. 北京航空航天大学 (BUAA):...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值