微服务授权认证及实践

已于 2022-09-01 07:05:07 修改
阅读量1.4k 收藏 2
点赞数
文章标签: 微服务 java 架构
于 2022-08-31 20:36:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ellenjing/article/details/125837862
版权

微服务授权认证机制

1. 背景

OAuth2.0是当前业界标准的授权协议,它的核心是若干个针对不同场景的令牌颁发和管理流程;而JWT是一种轻量级、自包含的令牌,可用于在微服务间安全地传递用户信息。OAuth 2.0的模式一共有四种,这里只假设客户直接访问公司自己的门户网站,即第一方Web应用,可以选择OAuth 2.0的资源拥有者凭据模式。 OAuth2令牌 + JWT混合模式,IDP(Identity Provider)要支持OAuth 2.0 授权协议处理,及从OAuth2令牌到JWT令牌的转换。最后以代码方式实现了授权、认证过程。

2. Overview

先做一个概览,下面是Access token + JWT混合模式流程图:
Client : 资源拥有者
IDP:授权服务
Providers: 受保护资源
在这里插入图片描述

3. 认证授权流程

3.1 获取Access Token

  1. 从身份认证服务器获取身份验证OAuth凭据client id 和 secret
  2. 请求Access Token: Token API in gateway generate OAuth2 access token for the Client Id, Secret and Scopes combination.

实验 - 基于spring security oauth2 获取access token

引入依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.security.oauth</groupId>
        <artifactId>spring-security-oauth2</artifactId>
    </dependency>
</dependencies>

Authorization 配置类:

@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationConfig extends AuthorizationServerConfigurerAdapter {

    private final AuthenticationManager authenticationManager;

    public OAuth2AuthorizationConfig(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        this.authenticationManager = authenticationConfiguration.getAuthenticationManager();
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpointsConfigurer) {
        endpointsConfigurer.authenticationManager(authenticationManager);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clientDetailsServiceConfigurer) throws Exception {
        clientDetailsServiceConfigurer.inMemory()
                .withClient("clientapp")
                .secret("{bcrypt}$2a$10$OL6aAqldM9QMoK/D3Y0xA.KIaWw9kOBs83exhr4DUACcHq5ZeCI7C")
                .authorizedGrantTypes("password", "refresh_token")
                .scopes("read_userinfo", "read_contacts");
    }
}

获取access_token实验结果:在这里插入图片描述
将Resource server 配置类与Authorization集成在同一个ms中,使用access token直接获取资源。但大型分布式微服务的授权和认证还是推荐 OAuth2 + JWT混合模式。

@Configuration
@EnableResourceServer
public class OAuth2ResourceConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .requestMatchers()
                .antMatchers("/api/**");
    }

}

调用资源API:

@Controller
public class UserController {

    @RequestMapping("/api/userinfo")
    public ResponseEntity<UserInfo> getUserInfo() {
        User user = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        String email = user.getUsername() + "@spring2go.com";
        UserInfo userInfo = new UserInfo();
        userInfo.setName(user.getUsername());
        userInfo.setEmail(email);
        return ResponseEntity.ok(userInfo);
    }
}

实验结果:
通过调用资源API,获取到了用户名和邮箱信息
在这里插入图片描述

3.2 令牌转换

  • Gateway 验证访问令牌
  • Gateway 根据客户端发送的访问令牌获取的用户详细信息生成JWT
  • JWT将使用RSA算法和私钥进行签名,并将其放在HTTP头中发送
  • Gateway与Providers sidecar共享公钥,以进行JWT签名验证

3.3. 服务调用

  • Gateway进行路由、负载均衡以及限流
  • Provider sidecar将从Gateway获得公钥并用于JWT签名验证
  • 当事务完成时(成功或错误),网关将事务日志发送给日志系统,其中包含一些头的详细信息、运行时间、状态等

实验 - JWT 生成及验证

Java中对JWT的支持可以使用JJWT(实现了JOSE规范)开源库;
import依赖:

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>${java-jwt.version}</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>${jjwt-api.version}</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>${jjwt-api.version}</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-gson</artifactId>
    <version>${jjwt-api.version}</version>
</dependency>

jwt的生成:

private static final String JWT_SECRET = "test_jwt_secret_test_jwt_secret_test_jwt_secret";

public static SecretKey generalKey() {
    byte[] encodeKey = JWT_SECRET.getBytes(StandardCharsets.UTF_8);
    //这里只是简单的实验,生产中要使用非对称加密~
    SecretKey key = new SecretKeySpec(encodeKey, 0, encodeKey.length, "HmacSHA256");
    return key;
}

/**
 * 签发JWT, 创建token的方法
 *
 * @param id        jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
 * @param iss       jwt签发者
 * @param subject   jwt所面向的用户, payload中记录的public claims. 即为JWTSubject的信息
 * @param ttlMillis 有效期,单位毫秒
 * @return token
 */
public static String createJWT(String id, String iss, String subject, long ttlMillis) {
    long currentMillis = System.currentTimeMillis();
    Date now = new Date();
    SecretKey secretKey = generalKey();
    JwtBuilder builder = Jwts.builder()
            .serializeToJsonWith(new GsonSerializer<>(new Gson()))
            .setId(id)//身份标识
            .setIssuer(iss)
            .setSubject(subject)
            .setIssuedAt(now)
            .signWith(secretKey);
    if (ttlMillis >= 0) {
        long expMillis = currentMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        builder.setExpiration(expDate);
    }
    return builder.compact();
}

jwt的校验:

public static JWTResult validateJWT(String jwtStr) {
    JWTResult checkResult = new JWTResult();
    Claims claims;
    try {
        claims = parseJWT(jwtStr);
        checkResult.setSuccess(true);
        checkResult.setClaims(claims);
    } catch (ExpiredJwtException e) {
        checkResult.setErrCode(JWT_ERR_CODE_EXPIRE);
        checkResult.setSuccess(false);
    } catch (Exception e) {
        checkResult.setErrCode(JWT_ERR_CODE_FAIL);
        checkResult.setSuccess(false);
    }
    return checkResult;
}

public static Claims parseJWT(String jwt) {
    SecretKey secretKey = generalKey();
    return Jwts.parser()
            .setSigningKey(secretKey)
            .parseClaimsJws(jwt)
            .getBody();//token中记录的payload数据
}

4. 安全问题

  • 只允许特定身份的客户端访问,令牌请求启用Mutual TLS认证,请求需要同时确认服务端和调用者的身份。
  • 为了避免重放攻击,在token中加入时间戳,保证token快速过期,过期后采用refresh_token刷新获取新的token。
  • 采用公钥、私钥非对称加密,分布式场景下,建议选择 RS256 。
  • 避免敏感信息保存在 JWT 中,JWS 方式下的 JWT 的 Payload 信息是公开的,不能将敏感信息保存在这里,如有需要,请使用 JWE 。
Ellenjing
关注
微服务、统一认证.zip
10-09
总的来说,这个压缩包提供了一个关于微服务中统一认证和鉴权实践的综合案例,涵盖了OAuth2的实现、MyBatis集成以及高并发环境下的处理策略。对于理解和构建自己的微服务安全架构,这些资源是宝贵的参考资料。
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6745
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
微服务架构认证授权的那些事儿
huxian1234的专栏
01-12 1693
2021年我和博文视点合作了一本技术类型的书籍“Spring Cloud Alibaba微服务架构实战派上下册”,它是我涉足知识输出领域以来的第一本书,同时它也是我自己积累的技术池中部分技术的产出。 为了写好那本书,我几乎花费了所有的休息时间,并主动的承担了书的售后技术辅导和咨询的职责(几乎是有问必答,坚持了整整两年)。 所谓有付出总会有回报,Alibaba这本书的销量还不错,我也因此获得了博文视点颁发的2021年度优秀作者。 我很清楚,这个是博文视点为了鼓励我继续去用心写书,因此我又花了接近1年半的
微服务认证系列一:SpringCloud OAuth2
最新发布
wanping15825992341的博客
08-12 610
OAuth(开放授权)是一个开放协议/标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来多个微服务的统一认证(验证身份合法性)授权(验证权限)。
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
热门推荐
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证网关负责校验认证和鉴权,其他API服务负.
微服务中的鉴权该怎么
m0_53157173的博客
02-15 462
所以,微服务中的认证,还是建议使用令牌的方式,可以选择 JWT 令牌,这也是目前使用较多的一种方案。但是熟悉 JWT 的小伙伴都知道,纯粹的无状态登录无法实现注销,这就很头大,所以在实际应用中,单纯的使用 JWT 是不行的,一般还是要结合 Redis 一起,将生成的 JWT 字符串在 Redis 上也保存一份,并设置过期时间,判断用户是否登录时,需要先去 Redis 上查看 JWT 字符串是否存在,存在的话再对 JWT 字符串解析操作,如果能成功解析,就没问题,如果不能成功解析,就说明令牌不合法。
Springboot Security +Oauth2 微服务单点登录授权认证
zfyymmd的博客
10-18 392
客户端向资源服务器发起请求后,资源服务器会首先拿接受的token去权限服务器验证,如果验证通过,才继续执行请求。
第一节 微服务架构演变以及微服务授权中心搭建1
08-04
微服务架构演变及微服务授权中心搭建】 微服务架构是一种现代软件开发和部署的方式,它将单一的应用程序拆分成一组小型、独立的服务,每个服务都专注于完成特定的业务功能。这种架构模式起源于对传统单体架构的...
微服务架构实践pdf
11-13
6. **API Gateway**:作为系统对外的统一入口,处理跨服务的认证授权、路由,以及可能的聚合和缓存等操作。 7. **持续集成/持续交付(CI/CD)**:微服务架构鼓励快速迭代和频繁部署,CI/CD流程是实现这一目标的...
Apisix微服务网关实践
10-07
4. 认证授权:Apisix支持OAuth2.0、OpenID Connect、JWT等标准协议,并提供自定义认证逻辑扩展,支持RBAC(Role-Based Access Control)和ABAC(Attribute-Based Access Control),用户角色和权限可以灵活配置。...
微服务架构实践-唯品会1
08-03
9. **安全性**:包括认证授权、加密和API网关等,确保服务间的通信安全,防止未授权访问和数据泄露。 10. **容器化与编排**:Docker提供了一种标准化的打包服务的方式,而Kubernetes或Docker Swarm等编排工具可以...
SpringCloudGateWay+nacos+redis+springsecurity实现多微服务统一授权认证
qq_45243783的博客
05-30 3559
之前的大部分都是基于单体的springboot项目,对于权限这一块直接套用springsecurity就可以搞定了但是现在随着微服务分布式架构的流行,越来越多的项目都拆解成一个个的微服务,因此需要重构权限这一块,这里我采用的是在网关gateway层进行认证授权,根据认证结果以及角色来判断是否放行该请求:大致围绕下面三个需求:项目结构如图所示:登录认证授权等主要采用Spring security + redis+token机制,那么得首先配置WebSecurityConfig,这里看到的redis配置主要是
微服务:gateway+security+nacos实现微服务认证授权方案
LJWWD的博客
02-07 5484
用户通过客户端访问项目时,前端项目会部署在nginx上,加载静态文件时直接从nginx上返回即可。当用户在客户端操作时,需要调用后端的一些服务接口。这些接口会通过Gateway网关网关进行一定的处理(jwt合法性校验,黑名单、白名单,过滤一部分请求)之后再转发给具体的微服务。具体的资源服务会对请求进行解析,判断当前登录用户是否有权限调用该资源的接口。
微服务统一认证方案
凉茶铺的博客
08-30 1561
OAuth(开放授权)是一个开放协议/标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。用户:我们自己第三方应用:拉勾网另外的服务提供者:QQOAuth2是OAuth协议的延续版本,但不向后兼容OAuth1即完全废止了OAuth1。...
聊聊微服务架构中的用户认证方案!
独行侠梦的博客
04-27 497
今天来聊聊微服务中一个重要的话题:如何设计微服务架构下的用户认证方案。今天主要涉及三个方面的内容:传统的用户认证方案;JWT 与 JJWT;基于网关的统一用户认证。传统的用户认证方案我们直奔主题,什么是用户认证呢?对于大多数与用户相关的操作,软件系统首先要确认用户的身份,因此会提供一个用户登录功能。用户输入用户名、密码等信息,后台系统对其进行校验的操作就是用户认证。用户认证的形式有多种,最常见的有...
微服务常见认证、鉴权方案
u014203449的博客
09-26 9618
参考网上一些优秀开源项目和框架,谈谈常见的微服务认证、鉴权方案。内容有SecurityOauth2、单点登录cas、自定义拦截器开发、微服务间鉴权、令牌的存储方式、shiro由单体改动为微服务 微服务认证、鉴权的目标: 一次登录后,各微服务都能访问 可对各微服务进行角色、接口等粒度的鉴权 SecurityOauth2 可能是seurity框架提供了一个微服务鉴权的直接解决方式,导致网上资料大部分都是此类方案。 这个方案理解起来并不难。 首先,在登录时,利用oauth2协议的四种方式及自定义.
016-从零搭建微服务-认证中心(七)
csp732171109的博客
07-18 327
访问接口:网关:http://mingyue-gateway:9100/system/sysUser/getSysUserInfoByUsername?测试 【前情回顾】中的接口,如:http://mingyue-gateway:8000/sysUser/getSysUserInfoByUsername?username=mingyue,返回如下。网关:http://mingyue-gateway:9100/system/sysUser/getSysUserInfoByUsername?
【权限设计系列】「认证授权专题」微服务架构的登陆认证问题
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
12-26 1083
微服务架构下,必须对企业的平台生态进行合理的业务划分,每个业务板块将自成系统,这些系统业务比较独立,应当独立拆分。每个系统又可根据各自的业务模型进行切分,将业务模型和用户需求统筹分析后建立恰当的领域模型,形成独立的服务。另外,企业平台的客户范围比较复杂,有2B的业务,也有2C的,还有 2G(goverment)的,因此平台级的统一身份管理必须涉及组织实体和个人实体两类,其中组织实体包括机关(G)、企业单位(B)、团体组织(B)等,这类似于多租户架构的概念,但又比传统多租户架构复杂。
Micro微服务实践教程及工具包发布
8. 安全策略:强调在微服务架构中实现安全策略的重要性,包括服务间的认证授权、数据加密和防止常见的安全威胁。 9. 微服务治理:解释服务治理的概念,包括服务的版本管理、灰度发布和回滚机制等。 10. 实际案例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值