在微服务中使用 APIGateway 处理认证和授权

最新推荐文章于 2024-03-14 18:07:04 发布
最新推荐文章于 2024-03-14 18:07:04 发布
阅读量1.9k 收藏
点赞数
分类专栏: 微服务 文章标签: 后端 IAM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JosephThatwho/article/details/114592072
版权

API 网关认证是管控通过API传输的数据的重要手段。

总的来说,API网管认证是使用预定义的一些凭证,认证某一的消费者(用户或服务)有没有权限访问当前的API。认证的目的是把没有通过认证的访问拦截掉。

为什么API网关认证很重要

API,是一种从某个端点请求数据并发送到你的中央数据库的方式。
端点可能是一下几种类型:

  • 通过网络应用访问API的人类用户
  • 通过物联网 API 返回数据的一组硬件或设备
  • 使用内部API提交或处理数据的员工或合作商
    无论哪种情况,认证都很必要。外部 API,包括面向用户的 API 和 IoT 设备的 API,最好在允许通过 API 传递数据之前就对端点认证。这可以防止错误和恶意提交数据,帮助管理传输的数据总量,并提供必要的安全层,以便您可以实施访问控制,包括在订阅过期时切断访问的选项。对于内部 API,身份验证似乎不那么重要,但它仍然是验证传输的数据是否已授权以及是否要将其传输到数据存储的重要步骤。
    身份验证还使您有机会确定如何处理失败的请求。这可能意味着只需阻塞请求并返回错误代码,但在某些情况下,您可能仍然希望提供有限的访问。Kong 允许通过通过匿名认证处理这类场景。

Kong API 网关如何认证

kong 支持不同的认证插件,用于把流量转发到上游服务,包括 API 和网管。
身份验证插件可以配置为应用于API网关内的服务实体。反过来,服务实体与它们所代表的上游服务一一对应,本质上意味着认证插件直接应用于那些上游服务。对访问进行身份验证有几种不同的方法,我们稍后将介绍这些方法,包括通用身份验证、匿名访问和多重身份验证。
Kong 还支持 API 密钥认证,这是一种认证用户的强大方法,通过允许最终用户通过报头或查询字符串提供授权 API 密钥来认证。API密钥认证是进行API认证的最流行的方法之一,使用Kong的密钥认证插件可以根据需要轻松地创建和删除访问密钥。
通过使用多个Kong插件来组合不同API身份验证方法,以及不同级别的身份验证(如通用、匿名和多重身份验证),您可以为 Kong 服务和路由接收的数据请求设置复杂的权限。

在微服务中使用 API Gateway 认证

如果要用 Kong API 网关 认证上游微服务的访问,您必须创建一个和该微服务关联的服务。服务实体和微服务或微服务的API是一一对应的映射关系,所以实体创建后,可以把实体看作上游微服务。接着要定义路由,告诉 Kong 如何把收到的数据传给相应的服务实体。
可以把不同的路由指向同一个服务实体,比如,允许以不同的方式对不同的用户组进行身份验证。配置完选择的服务实体和路由后,就可以配置认证插件,用于根据用户凭证允许或拒绝访问。

不同等级的认证

可以使用多个插件提供不同等级的服务,增加了构建更复杂的身份验证方法的可能性。身份验证级别的一些主要示例包括:

通用认证

通用认证只是通过基础认证测试检查提供的凭证。如果通过测试,则会在报头中添加怕凭证细节和消费者信息,并把请求向前传递。如果验证失败,会拦截请求。这意味着您可以通过一系列不同的方法(例如,单因素用户名和密码登录或API密钥)将访问权限限制为仅授权的个人。

匿名认证

有些情况下,您会允许没有通过凭证校验的终端用户匿名访问。比如,允许没有订阅服务的用户使用有限的服务。匿名认证通常要在插件配置中设定匿名用户ID,如果认证失败,则用这个ID代替访问。
如果没有设置匿名访问,那么认证失败的访问会显示403。

多重认证

多重认证用于对一个服务实体使用多个插件认证访问。您可以配置具体的认证方法,比如必须通过所有的认证才能访问,也就是逻辑与生命。这意味着用户必须提供更多的凭证,从而允许建立双因素(或更多)身份验证,从而显著降低未经授权的个人通过暴力攻击或泄露凭据获得访问权限的风险。
也可以选择逻辑或配置并添加匿名ID,当用户通过任一校验即可访问,而没有通过校验时,则以匿名ID访问。
当然也可以使用逻辑或且不配置匿名ID。

API gateway 之间的访问认证

最后,在某些情况下,一个API网关可能需要调用另一个API网关,例如,API网关后面的办公网络需要从另一个API网关后面的远程服务器请求数据。这类调用的身份验证可以提供一个重要的额外控制层,以确保在两个网关之间只传递有效且经过授权的请求。
这些类型的数据请求通常发生在两个网关之间,这两个网关都是作为分布式网络或广域网的一部分由您直接控制的,这样您就可以通过管理员访问这两个网关的安全配置。因此,网关到网关的访问通常是通过授权特定IP地址来实现的,IP是每个网关在其对应的安全设置中使用的,在两个网关之间创建一个IP隧道。
将另一个网关列入白名单,再加上通过安全VPN进行通信的选项,有效地阻止了对来自所有其他IP地址的数据请求的访问,从而在适当的情况下限制了对一个IP的访问,以实现最大的安全性。在一个API网关需要调用另一个API网关的场景中,这是一种允许它这样做而不向第三方未经授权的数据请求打开该网关的选项。

JosephThatwho
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud实操(三)API网关整合OAuth2认证授权服务
傅红雪的专栏
01-14 4820
1. 基本概念 API网关将自己注册为Eureka服务治理下的应用,同时也从Eureka服务治理获得所有其他微服务的实例信息。我们通过搭建独立的OAuth2认证授权服务,将微服务冗余的登录校验、签名校验单独剥离出来,这些校验与微服务自己的业务并没有太大的关系,所以这些功能完全可以独立成一个单独的服务存在。只是独立出来之后,并不是给每个微服务调用,而是通过API网关进行统一调用,来对微服务接口...
auth-api-demo:使用Cognito,API Gateway和Lambda演示保护AWS上的微服务
01-29
使用Cognito,API Gateway和Lambda保护AWS上的微服务 处理身份验证很痛苦。 但是大多数应用程序需要对用户进行身份验证并控制他们可以访问哪些资源。 微服务尽管越来越流行,但会增加复杂性。 您需要保护用户的操作和服务之间的交互。 阅读上休息 有关本文概述的AWS设置的详细信息,请参阅
SpringCloudGateway之统一鉴权篇
最新发布
HMing的博客
03-14 1537
在客户端登录成功后,服务端生成一个包含用户信息和过期时间等数据的JWT令牌返回给客户端。客户端在后续请求将此令牌放在请求头(如Authorization: Bearer token)发送给网关。网关层通过自定义的GatewayFilter Factory来拦截所有请求,并检查请求头的JWT令牌,使用对应的解码器对其进行解密和校验,包括但不限于签名验证、过期时间检查等。
八.SpringCloud+Security+Oauth2实现微服务授权 - 常见的微服务授权方案
墨家巨子@俏如来
09-25 5858
系列文章目录 一.SpringSecurity基础-认证授权概述 二.SpringSecurity基础-简单登录实现 三.SpringSecurity基础-认证原理&改造登录流程 四.SpringSecurity基础-授权流程 五.SpringSecurity基础-认证授权结果处理 六.SpringSecurity基础-记住我功能实现 前言 前面我们讨论的是SpringSecurity基础部分内容,接下来我们来探讨一下SpringCloud 集成 SpringSecurity和Oauth实现
【Spring Cloud & Alibaba 实战 | 总结篇】Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现微服务统一认证授权和鉴权,
竹林幽深
10-08 5381
https://blog.51cto.com/u_12386660/4903587
微服务架构实战第八节 微服务安全框架,认证授权
fegus的博客
05-24 1358
25 服务安全:如何理解微服务访问的安全需求和实现方案? 今天,我们又将进入一个全新的话题,讨论微服务架构的服务访问安全性相关的需求和实现方案。在设计微服务架构时,安全性是一个重要但又往往被忽略的主题,很多开发人员缺乏对微服务安全访问机制的认识。另一方面,微服务安全性又是一个非常综合的话题,涉及的技术体系也比较复杂,让我们一起来看一下。 微服务架构的安全性设计 对于微服务架构而言,安全性设计的最核心考虑点还是认证(Authentication)和授权(Authorization)。 认证授权 在软件
如何在微服务架构实现统一认证授权 | 周末送书
Docker的专栏
12-15 820
对于一个服务系统,安全是必须需要考虑的方面。应用安全是一个不断追求更强的目标,全面性、全系统的方法很重要,因为我们永远不知道入侵者是如果对系统进行攻击。在系统安全的实现上,一般倡导使用安...
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
User.API:集成网关,身份认证,令牌授权微服务,.netcore等的基于CQRS的微服务开发框架示例
02-04
User.API 用户API项目
go-microservices:Golang微服务示例
02-04
下面是设计和实现使用微服务的例子: 1.电影微服务示例架构 1.1。 一般的微服务认证流程 条款 描述 第三应用服务 想要使用/与电影服务集成的外部服务。 API网关 所有客户端的单一入口点。 API网关将请求代理/路由...
Cloud-Admin是国内首个基于SpringCloud微服务化开发平台具有统一授权认证后台管理系统
08-08
Cloud-Admin是国内首个基于Spring Cloud微服务化开发平台,具有统一授权认证后台管理系统,其包含具备用户管理、资源权限管理、网关API管理等多个模块,支持多业务系统并行开发,可以作为后端服务的开发脚手架。...
Spring-Cloud-Platform::fire::fire::fire:Cloud-Platform是国内首个基于Spring Cloud的微服务开发平台,具有统一授权认证后台管理系统,其包含有用户管理,资源权限管理,网关API管理等多个模块,支持多业务系统并行开发,可以作为集成服务的开发脚手架。代码简洁,架构清晰,适合学习和直接项目使用。核心技术采用Spring Boot2和Spring Cloud Gateway相关核心组件,前端采用vue-element -admin组件
01-30
Cloud-Platform是国内首个基于Spring Cloud微服务化开发平台,具有统一授权认证后台管理系统,其包含用户管理,资源权限管理,网关API管理等多个模块,支持多业务系统并行开发,核心技术采用Spring Boot 2.4.1 ...
聊聊微服务安全之认证授权
迷踪拳谱
07-13 1744
引言 如今微服务架构已经是互联网应用的事实标准。相比传统单体应用,微服务架构给我们带来了诸多好处:快速迭代、松耦合、独立部署、高可靠、技术栈选择灵活等等,但与此同时它也给我们引入了分布式系统的复杂性和由此带来的各种挑战。其一个挑战就是如何在微服务架构下保证应用访问的安全。 应用安全是个很宽泛的领域,本文将只讨论认证授权。相对于单体应用,微服务架构下的认证授权涉及的场景更多更复杂:用户访问...
微服务的用户认证授权杂谈(下)
beishuibo1517的博客
09-08 459
[TOC] AOP实现登录状态检查 在微服务的用户认证授权杂谈(上)一文简单介绍了微服务下常见的几种认证授权方案,并且使用JWT编写了一个极简demo来模拟Token的颁发及校验。而本文的目的主要是延续上文来补充几个要点,例如Token如何在多个微服务间进行传递,以及如何利用AOP实现登录态和权限的统一校验。 为了让登录态的检查逻辑能够通用,我们一般会选择使用过滤器、拦截器以及AOP等手段来...
微服务架构下的认证鉴权解决方案
Park33的博客
12-05 1313
单体应用在向微服务化架构演进时,需要考虑如何解决服务认证授权的问题。如果处理不好,会引发架构的混乱,带来安全、性能、难以维护的问题。 以最典型的包含WEB页面的具备登录态管理的系统为例。在最初阶段,登录鉴权一般通过cookie+redis分布式session来实现。​在服务化过程,单体系统会拆分为多个微服务,这时微服务间会出现相互调用。对于使用Dubbo、Grpc等RPC协议的系统而言,由于给web页面提供的是HTTP接口,而给微服务间调用提供的RPC接口,架构比较清晰。而对于Springcloud技术体
Spring Cloud Gateway整合OAuth2思路分享
Trouvailless的博客
04-28 717
微服务做用户认证授权一直都是一个难点,随着OAuth2.0的密码模式被作废,更是难上加难了。今天胖哥群里的一个群友搭建用户认证授权体系的时候遇到了一些棘手的问题,这让作者觉得是时候分享一些思路出来了。 两种思路 通常微服务认证授权思路有两种: 所有的认证授权都由一个独立的用户认证授权服务器负责,它只负责发放Token,然后网关只负责转发请求到各个微服务模块,由微服务各个模块自行对Token进行校验处理。 另一种是网关不但承担了流量转发作用,还承担认证授权流程,当前请求的认证信息由网关继给下游
微服务的用户认证授权
weixin_41997692的博客
06-21 2359
一、有状态 VS 无状态 用户认证有两种模式,一种是服务器端存储用户登录状态,比如使用session store,这种方式叫有状态,另外一种无状态就是用户登录后,服务器端会传送给客户端一个token,token里面包含了过期时间,用户信息等一些不太敏感的信息,客户端要用接口时将token传递给服务器端,服务器端将token解密之后就能得到当前用户的信息,并通过判断过期时间来知晓当前状态是否过期,两种方式各有优缺点,以下是两种方式的比较: 二、微服务认证方案01-“处处安全”方案 基于OAuth2.0协议,
Spring Cloud Gateway+Oauth2 实现统一认证和鉴权
const_
03-25 8367
前言 应用架构: 认证服务负责认证,网关负责校验认证和鉴权,其他API服务负责处理自己的业务逻辑。 安全相关的逻辑只存在于认证服务和网关服务,其他服务只是单纯地提供服务而没有任何安全相关逻辑。 JWT认证流程: 1、用户使用账号和密码发出post请求; 2、服务器使用私钥创建一个jwt; 3、服务器返回这个jwt给浏览器; 4、浏览器将该jwt串在请求头像服务器发送请求; 5、服务器验证该jwt; 6、返回响应的资源给浏览器。 JWT解析 JWT使用场景: 授权:这是JWT使用最多的场景,一旦用户登
微服务授权认证及实践
Ellen的博客
08-31 1301
OAuth2.0是当前业界标准的授权协议,它的核心是若干个针对不同场景的令牌颁发和管理流程;而JWT是一种轻量级、自包含的令牌,可用于在微服务间安全地传递用户信息。OAuth 2.0的模式一共有四种,这里只假设客户直接访问公司自己的门户网站,即第一方Web应用,可以选择OAuth 2.0的资源拥有者凭据模式。 OAuth2令牌 + JWT混合模式,IDP(Identity Provider)要支持OAuth 2.0 授权协议处理,及从OAuth2令牌到JWT令牌的转换。最后以代码方式实现授权认证过程。.
Spring Cloud和Spring Security如何集成到微服务架构
09-20
微服务架构,通过Spring Cloud Gateway实现统一的API网关,可以将所有的请求路由到相应的微服务上。同时,可以通过Spring Security来对请求进行认证授权,确保只有经过验证的用户才能访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值