分布式架构设计-安全认证与鉴权 &SSO & 分布式Session & JWT & OAUTH

最新推荐文章于 2024-06-21 14:41:10 发布
最新推荐文章于 2024-06-21 14:41:10 发布
阅读量2.9k 收藏 3
点赞数
  1. http://www.infoq.com/cn/articles/identity-authentication-of-architecture-in-micro-service

微服务架构下,要考虑外部应用接入的场景、用户 - 服务的鉴权、服务 - 服务的鉴权等多种鉴权场景。

微服务常见安全认证方案:

  1. HTTP 基本认证
  2. 基于服务端 Session 的认证(分布式Session. e.g. Spring Session)
  3. 基于 客户端Token 的认证: Token 和 Session ID 不同,并非只是一个 key。Token 一般会包含用户的相关信息,通过验证 Token 就可以完成身份校验。
  4. 基于 Token 认证的好处如下:
  • 服务端无状态:Token 机制在服务端不需要存储 session 信息,因为 Token 自身包含了所有用户的相关信息。
  • 性能较好,因为在验证 Token 时不用再去访问数据库或者远程服务进行权限校验,自然可以提升不少性能。
  • 支持移动设备。
  • 支持跨程序调用,Cookie 是不允许垮域访问的,而 Token 则不存在这个问题。
  • 两种基于 Token 的认证方案 JWT/Oauth2.0。
  • 思考总结
    正如 David Borsos 所建议的一种方案,在微服务架构下,我们更倾向于将 Oauth 和 JWT 结合使用,Oauth 一般用于第三方接入的场景,管理对外的权限,所以比较适合和 API 网关结合,针对于外部的访问进行鉴权(当然,底层 Token 标准采用 JWT 也是可以的)。JWT 更加轻巧,在微服务之间进行访问鉴权已然足够,并且可以避免在流转过程中和身份认证服务打交道。当然,从能力实现角度来说,分布式 Session 在很多场景下也是完全能满足需求,具体怎么去选择鉴权方案,还是要结合实际的需求来。

 

 

  1. 不要用JWT替代session管理(上):全面了解Token,JWT,OAuth,SAML,SSO
  2. http://blog.didispace.com/learn-how-to-use-jwt-xjf/
  3. https://www.bonjourcs.com/2017/12/19/%E5%88%AB%E5%86%8D%E7%94%A8-JWT-%E5%81%9A%E4%BC%9A%E8%AF%9D%E7%AE%A1%E7%90%86%E4%BA%86/
  4. 从有状态应用(Session)到无状态应用(JWT),以及 SSO 和 OAuth2
  5. OAuth 2和JWT - 如何设计安全的API?
  6. https://www.cnblogs.com/xiekeli/p/5607107.html

对Token认证的五点认识

  1. 一个Token就是一些信息的集合;
  2. 在Token中包含足够多的信息,以便在后续请求中减少查询数据库的几率
  3. 服务端需要对cookie和HTTP Authrorization Header进行Token信息的检查;
  4. 基于上一点,你可以用一套token认证代码来面对浏览器类客户端和非浏览器类客户端
  5. 因为token是被签名的,所以我们可以认为一个可以解码认证通过的token是由我们系统发放的,其中带的信息是合法有效的;

 

a19576
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rpc 微服务架构下的安全认证鉴权1
08-08
在微服务架构中,安全认证鉴权是至关重要的,因为它们确保了服务之间的通信以及用户访问的正确性和安全性。随着从单体应用向微服务的转变,传统的认证鉴权机制面临着新的挑战。本文将探讨这些挑战以及相应的解决...
分布式系统开发实战:基于Spring Security实现安全认证
m0_63437643的博客
03-15 223
本例使用了基于内存的信息管理器InMemory UserDetailsManager,同时初始化了一个用户名为“waylau”、密码为“123”、角色为“USER”的身份信息。AppConfiguration是整个应用的配置类,用于导入Spring Web MVC及Spring Security的配置信息。添加Spring Security的依赖时,由于是使用的snapshot版本,所以,要配置Spring Snapshots仓库。该POJO对象,可以根据消息转换器的设置,来生成不同格式的消息。
springSecurity+jwt实现分布式鉴权认证
qq_37824570的博客
03-09 3509
springSecurity+jwt实现分布式鉴权认证
【微服务】分布式系统下的鉴权设计思路
最新发布
低调做人,低调编码,神码都是浮云
06-21 870
分布式系统下的鉴权设计思路
Spring Security OAuth2.0认证授权四:分布式系统认证授权
皮球
08-31 861
Spring Security OAuth2.0认证授权四:分布式系统认证授权
分布式系统下的认证与授权
IDEAL Garden
12-28 1038
本文从高层次梳理在不同架构演进中认证、授权及凭证这些和架构安全相关的技术的发展过程,尤其是在分布式系统下的如何高效安全的实现认证与授权的功能。
Spring Security(四)基于redis的分布式认证鉴权解决方案
douya2016的博客
08-25 2025
项目介绍 方案介绍 ​ 基于数据库的认证鉴权方式,登录之后会产生一个session存储在内存之中,然后将sessionId返回给客户端,后续客户端请求资源时,会将sessionId携带上,服务端根据sessionId判断用户的登录状态,如果用户登录过,则放行,如果没有登录,则会被拦截,跳转到登录页面重新登录,但这种将登录状态以及信息放在内存中的方式会带来两个问题: 由于session产生后放在服务器的内存之中,服务器因为某种原因(宕机或者更新)重启之后,则所有的session都会丢失,那么登录过的所有用户
sso-example:oauth2鉴权 单点登录 springcloud
05-08
【标题解析】 "SSO-Example: OAuth2 ...这个项目对于理解如何在SpringCloud环境中实现实战级的SSOOAuth2鉴权具有很高的参考价值,特别是对于Java开发者来说,能够提升在分布式系统安全和微服务治理方面的实践能力。
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
在线资料Sa-Token 介绍Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题框架集成简单、开箱即用、API设计清爽,通过Sa...
详解SpringCloud服务认证JWT
08-28
分布式系统的单点登录(SSO)场景中,JWT因其紧凑、安全的特性而备受青睐。 **JWT的工作原理** JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。这三部分通过Base64编码后,用`.`分隔,...
基于oauth2+security实现的SSO单点登录案例
10-14
SSO中,OAuth2通常用来实现客户端(如各种应用系统)与认证中心之间的交互,获取访问权限。 实现SSO的关键步骤包括: 1. **用户访问应用系统**:用户首次尝试访问一个受保护的应用系统A。 2. **重定向至认证中心...
spring-session的使用及其原理——分布式session解决方案
秃了也弱了
07-20 1811
当请求进来的时候,SessionRepositoryFilter会先拦截到请求,将request和response对象转换成SessionRepositoryRequestWrapper和SessionRepositoryResponseWrapper。后续当第一次调用request的getSession方法时,会调用到SessionRepositoryRequestWrapper的getSession方法。这个方法是被从写过的,逻辑是先从request的属性中查找,如果找不到。......
统一身份认证SSO/AD域/LDAP)
weixin_44281141的博客
03-17 6045
公司需要一个统一认证系统,自助分配权限系统,定期审计,集中分配与追踪所有权限,便于记录。单点登录网络生活中随处可见,比如登录了QQ客户端,然后你可以打开腾讯微博,QQ空间,QQ邮箱,校友录等等一系列的应用,这时候我们不需要在一个个再输入用户名和密码了,作为受信任的站点,就可以直接登录了。入职后每个人会接触多个系统,项目管理系统,需求管理系统,代码仓库,持续集成,文件服务器,有八个系统就有八个密码,每个系统用一个密码安全隐患较大,每个系统都用不同的密码也不容易记住。收费较高,公司使用不建议使用破解版本。
Sa-Token实现分布式登录鉴权(Redis集成 前后端分离)
Lifelong learning
02-12 6602
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
社交登陆,分布式session,单点登陆,jwt
chenfl的博客
05-20 747
社交登陆,分布式session,单点登陆,jwt 一、社交登录 QQ、 微博、 github 等网站的用户量非常大, 别的网站为了简化自我网站的登陆与注册逻辑, 引入社交登陆功能; 步骤: 1) 、 用户点击 QQ 按钮 2) 、 引导跳转到 QQ 授权页 3) 、 用户主动点击授权, 跳回之前网页。 OAuth2.0 OAuthOAuth(开放授权) 是一个开放标准, 允许用户授权第三方网站访问他们存储 在另外的服务提供者上的信息, 而不需要将用户名和密码提供给第三方网站或分享他们 数据的所有
分布式session解决方案 — — JWT(生成token)
weixin_45565886的博客
08-27 1230
分布式session解决方案 — — JWT(生成token)
前端鉴权必须了解的5个兄弟:cookie、session、token、jwt、单点登录
hello world!
07-20 685
原文:https://juejin.cn/post/6898630134530752520#heading-0本文你将看到:基于 HTTP 的前端鉴权背景cookie 为什么是最方便的存储...
分布式微服务架构下的认证鉴权
行走的悲寂寥的博客
06-30 1167
分布式微服务架构体系下的认证鉴权的理解
分布式项目】认证服务中心、社交登录OAuth2.0、单点登录、分布式Session解决方案
ly甲烷的博客
04-20 2358
注册、 OAuth2.0社交登录。 分布式Session不同步问题。单点登录OSS实现方式。如果cookie被禁用怎么保持登录状态
微服务架构用户认证实战:SpringSecurity Oauth2 & JWT 源码解析
该资源是一份关于在前后端分离式分布式微服务架构中实现用户认证的教程,重点讲解了Spring Security Oauth2的使用。它包括讲义、源码和视频,旨在帮助开发者深入理解用户认证的需求分析和技术实现,特别强调了Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值