聊聊微服务安全之认证与授权

最新推荐文章于 2024-03-14 21:03:17 发布
VIP文章 最新推荐文章于 2024-03-14 21:03:17 发布
阅读量1.7k 收藏 8
点赞数 2
分类专栏: Java Spring 应用层开发技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin_yu/article/details/95738386
版权

引言

如今微服务架构已经是互联网应用的事实标准。相比传统单体应用,微服务架构给我们带来了诸多好处:快速迭代、松耦合、独立部署、高可靠、技术栈选择灵活等等,但与此同时它也给我们引入了分布式系统的复杂性和由此带来的各种挑战。其中一个挑战就是如何在微服务架构下保证应用访问的安全。

应用安全是个很宽泛的领域,本文将只讨论认证和授权。相对于单体应用,微服务架构下的认证和授权涉及的场景更多更复杂:用户访问、外部系统调用、微服务内部调用等。如何针对各种场景设计一整套灵活、安全、高效的认证和授权方案对微服务开发者来说无疑是个巨大的挑战。

基本概念

认证和授权是两个不同的概念,却很容易被混淆。理清他们的职责范围和关联关系有助于开发者进行清晰的架构思考与设计。

认证

认证(authentication)是指用户证明自己身份的过程,它解决的是 “我是谁?”的问题。一般应用系统里面会给每个用户分配一个UID,在这个应用系统中UID就代表用户的身份,决定了该用户能做什么和不能做什么。但光有UID还不够,因为谁都可以声称自己是该UID的主人,所以用户在登录应用系统的时候除了出示UID,还要出示密钥(credential),只有当出示的密钥和用户注册时设置的密钥匹配的时候才算认证通过。

授权

授权(authorization)则是指用户证明自己身份后,应用系统进一步判断用户可以访问哪些系统资源的过程,它解决的是“我能做什么?”的问题。授权往往是伴随认证来完成的。

会话管理

由于HTTP是无状态的,请求与请求之间相互独立,所以用户登录后必须要使用一种方式来记住这个登录的状态,并且把这个用户的一连串的交互请求关联起来,这样用户就不必每个请求都带上密钥了,这就是会话(SESSION)的最大作用。当然会话还可以存储其他用户的信息,比如语言偏好、时区设置等,这里只关注其在用户认证和授权方面的作用。因此,一般来说一套完整的认证和授权方案应当包含三个部分:用户认证、会话管理和权限检查(如下图所示)。

认证技术

针对Web应用,近十几年来业界出现过很多认证方法,下面列举一些常用的:

Integrated Windows Authentication (IWA) 

微软出品,与Windows账号体系(包括AD)完美结合,使用它用户可以以Windows用户的身份来自动登录你的应用,它能给Windows用户提供了一个比较好的单点登录的体验。它的底层支持Kerberos /NTLM协议,细节请参考官方文档 ,这里就不介绍了。以前IIS盛行的时候用的比较多,现在淘汰的差不多了。

HTTP Basic

这种方式以前用的比较多,比如好多古老的路由器登录的时候都会弹出下图这样的登录框,那就是使用的HTTP Basic认证:

这个协议通过HTTP头携带Base64编码后的用户名密码,示例:

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

细节请参考rfc7617

这种方式实现起来非常简单,当然缺点也很明显,Base64 只能称为编码,而不是加密,所以最好使用HTTPS传输。现在基本没有Web应用采用HTTP Basic认证了,但还可以把它用于内部API调用的认证。

HTTP DIGEST

摘要认证是针对Basic认证存在的诸多问题而进行的改良方案,主要通过传递用户名,密码等计算出来的摘要来解决在网络上明文发送密码的问题,示例:

Authorization: Digest username="Mufasa",

       realm="[email protected]",

       uri="/dir/index.html",

       algorithm=MD5,

       nonce="7ypf/xlj9XXwfDPEoM4URrv/xwf94BcCAzFZH4GiTo0v",

       nc=00000001,

       cnonce="f2/wE4q74E6zIJEtWaHKaf5wv/H5QzzpXusqGemxURZJ",

       qop=auth,

       response="8ca523f5e9506fed4657c9700eebdbec",                //用户名,密码等计算出来的摘要

       opaque="FQhe/qaU925kfnzjCev0ciny7QMkPqMAFRtzCUYo5tdS"

细节请参考rfc7616

现在基本也没有Web应用采用HTTP Digest认证,但还可以把它用于内部API调用的认证。

HTTP Form认证

我们平时在登陆各大互联网站时所看到的登陆页面基本都是基于Form认证,业界没有关于Form认证的标准,但大家的实现却大同小异, 基本的流程是:

  1. 用户在登录页面输入用户名/密钥并点击提交按钮。这里密钥可以是密码、一次性Token(OTP)、指纹、虹膜、面部特征等,甚至可能是多种密钥结合(multifactor authentication
  2. 浏览器把用户名和密钥发送给服务器,HTTP请求的Body一般是Form类型的,也可以使用其他类型如JSON。所以其实叫Form认证并不确切。
  3. 服务器验证用户名密码

这种方式跟HTTP Basic一样是明文传输的密钥,所以最好用HTTPS来传输。HTTP Form认证如今仍然Web应用最流行的身份验证方式。

SSL 客户端认证

一般的HTTPS网站只开了SSL单向认证,也

最低0.47元/天 解锁文章
迷踪拳
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
深入聊聊微服务架构的身份认证问题
01-27
本文将会为大家阐述微服务架构下的安全认证与鉴权方案。 随着微服务架构的兴起,传统的单体应用场景下的身份认证和鉴权面临的挑战越来越大。单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验。...
Java HTTP digest 认证RFC 7616
weixin_50495215的博客
07-01 459
digest认证需要认证2次,第一次权限返回401,获取第二次认证所需的信息。digestURI:请求地址(请求地址中,ip端口之后的部分)nonce:服务器计数(第一次访问返回401的请求头中携带)response:参数校验(response 生成规则如下)username:用户名。cnonce:客户端计数。password:密码。method:请求方式。应答:设备返回401。
八.SpringCloud+Security+Oauth2实现微服务授权 - 常见的微服务授权方案
墨家巨子@俏如来
09-25 5847
系列文章目录 一.SpringSecurity基础-认证授权概述 二.SpringSecurity基础-简单登录实现 三.SpringSecurity基础-认证原理&改造登录流程 四.SpringSecurity基础-授权流程 五.SpringSecurity基础-认证授权结果处理 六.SpringSecurity基础-记住我功能实现 前言 前面我们讨论的是SpringSecurity基础部分内容,接下来我们来探讨一下SpringCloud 集成 SpringSecurity和Oauth实现微
微服务网关与用户身份识别,JWT+Spring Security进行网关安全认证(1)
最新发布
m0_60607245的博客
03-14 784
机会是留给有准备的人,大家在求职之前应该要明确自己的态度,熟悉求职流程,做好充分的准备,把一些可预见的事情做好。对于应届毕业生来说,校招更适合你们,因为绝大部分都不会有工作经验,企业也不会有工作经验的需求。同时,你也不需要伪造高大上的实战经验,以此让自己的简历能够脱颖而出,反倒会让面试官有所怀疑。你在大学时期应该明确自己的发展方向,如果你在大一就确定你以后想成为Java工程师,那就不要花太多的时间去学习其他的技术语言,高数之类的,不如好好想着如何夯实Java基础。请转发本文支持一下。
微服务的用户认证授权
weixin_41997692的博客
06-21 2345
一、有状态 VS 无状态 用户认证有两种模式,一种是服务器端存储用户登录状态,比如使用session store,这种方式叫有状态,另外一种无状态就是用户登录后,服务器端会传送给客户端一个token,token里面包含了过期时间,用户信息等一些不太敏感的信息,客户端要用接口时将token传递给服务器端,服务器端将token解密之后就能得到当前用户的信息,并通过判断过期时间来知晓当前状态是否过期,两种方式各有优缺点,以下是两种方式的比较: 二、微服务认证方案01-“处处安全”方案 基于OAuth2.0协议,
微服务架构实战第八节 微服务安全框架,认证授权
fegus的博客
05-24 1339
25 服务安全:如何理解微服务访问的安全需求和实现方案? 今天,我们又将进入一个全新的话题,讨论微服务架构中的服务访问安全性相关的需求和实现方案。在设计微服务架构时,安全性是一个重要但又往往被忽略的主题,很多开发人员缺乏对微服务安全访问机制的认识。另一方面,微服务安全性又是一个非常综合的话题,涉及的技术体系也比较复杂,让我们一起来看一下。 微服务架构中的安全性设计 对于微服务架构而言,安全性设计的最核心考虑点还是认证(Authentication)和授权(Authorization)。 认证授权 在软件
微服务中使用 APIGateway 处理认证授权
JosephThatwho的博客
03-09 1990
API 网关认证是管控通过API传输的数据的重要手段。 总的来说,API网管认证是使用预定义的一些凭证,认证某一的消费者(用户或服务)有没有权限访问当前的API。认证的目的是把没有通过认证的访问拦截掉。 为什么API网关认证很重要 API,是一种从某个端点请求数据并发送到你的中央数据库的方式。 端点可能是一下几种类型: 通过网络应用访问API的人类用户 通过物联网 API 返回数据的一组硬件或设备 使用内部API提交或处理数据的员工或合作商 无论哪种情况,认证都很必要。外部 API,包括面向用户的 A.
聊聊微服务与分布式系统
02-23
单体应用、集群和微服务,这个标题一出你们可能就知道我想说啥了,emm,就是架构的演进过程,很多人可能都看过相关知识,不过我为了文章的完整性还是打算简单讲一讲。首先是单体应用,在一个业务的起步阶段,往往是...
从SpringCloud开始,聊聊微服务架构的实践之路
02-25
在这个背景下,平台的技术架构也完成了从传统的单体应用到微服务化的演进。enterimagedescriptionhere单一应用架构(第一代架构)这是平台最开始的情况,当时流量小,为了节约成本,并将所有应用都打包放到一个应用...
如何在微服务架构中实现统一认证授权 | 周末送书
Docker的专栏
12-15 813
对于一个服务系统,安全是必须需要考虑的方面。应用安全是一个不断追求更强的目标,全面性、全系统的方法很重要,因为我们永远不知道入侵者是如果对系统进行攻击。在系统安全的实现上,一般倡导使用安...
微服务的用户认证授权杂谈(下)
beishuibo1517的博客
09-08 454
[TOC] AOP实现登录状态检查 在微服务的用户认证授权杂谈(上)一文中简单介绍了微服务下常见的几种认证授权方案,并且使用JWT编写了一个极简demo来模拟Token的颁发及校验。而本文的目的主要是延续上文来补充几个要点,例如Token如何在多个微服务间进行传递,以及如何利用AOP实现登录态和权限的统一校验。 为了让登录态的检查逻辑能够通用,我们一般会选择使用过滤器、拦截器以及AOP等手段来...
Spring Cloud Gateway整合OAuth2思路分享
Trouvailless的博客
04-28 711
微服务做用户认证授权一直都是一个难点,随着OAuth2.0的密码模式被作废,更是难上加难了。今天胖哥群里的一个群友搭建用户认证授权体系的时候遇到了一些棘手的问题,这让作者觉得是时候分享一些思路出来了。 两种思路 通常微服务认证授权思路有两种: 所有的认证授权都由一个独立的用户认证授权服务器负责,它只负责发放Token,然后网关只负责转发请求到各个微服务模块,由微服务各个模块自行对Token进行校验处理。 另一种是网关不但承担了流量转发作用,还承担认证授权流程,当前请求的认证信息由网关中继给下游
微服务架构下的认证鉴权解决方案
Park33的博客
12-05 1306
单体应用在向微服务化架构演进时,需要考虑如何解决服务认证授权的问题。如果处理不好,会引发架构的混乱,带来安全、性能、难以维护的问题。 以最典型的包含WEB页面的具备登录态管理的系统为例。在最初阶段,登录鉴权一般通过cookie+redis分布式session来实现。​在服务化过程中,单体系统会拆分为多个微服务,这时微服务间会出现相互调用。对于使用Dubbo、Grpc等RPC协议的系统而言,由于给web页面提供的是HTTP接口,而给微服务间调用提供的RPC接口,架构比较清晰。而对于Springcloud技术体
SpringCloud搭建微服务之OAuth2认证授权
liu320yj的博客
10-04 3249
OAuth2.0是一个标准的授权协议,实际上它是用户资源和第三方应用之间的一个中间层,把资源和第三方应用隔开,使得第三方应用无法直接访问资源,第三方应用要访问资源需要通过提供凭证获得OAuth2.0授权,从而起到保护资源的作用
认证学习3 - Digest摘要认证讲解、代码实现、演示
weixin_39651356的博客
08-17 1564
认证学习3 -Digest摘要认证讲解、代码实现、演示
Spring Cloud认证授权
加油
02-03 5215
文章目录微服务安全与权限流程Spring Cloud认证授权方案微服务下SSO单点登陆方案分布式Session与网关结合方案客户端Token与网关结合方案浏览器Cookie与网关结合方案网关与Token和服务间鉴权结合 微服务安全与权限流程 我们发送请求到负载均衡软件,负载均衡发到微服务网关上,网关进行用户认证后,解析出用户的基本信息,通过认证后,携带用户标识到后台微服务微服务根据标识进行相应...
java调用rfc
大数据爱好者
11-07 1128
import com.sap.conn.jco.JCoDestination; import com.sap.conn.jco.JCoDestinationManager; import com.sap.conn.jco.JCoException; import com.sap.conn.jco.ext.DestinationDataProvider; import lombok.extern.s...
微服务架构下认证和鉴权理解
Ch3nnn的博客
04-18 1010
本文介绍了服务在从单体演进到微服务架构过程中,对于服务认证鉴权遇到的问题,并提供了开发人员可能会用到的解决方案。如今微服务架构已经成为事实上的标准,我们希望微服务一定是无状态的,专注于处理业务流程和规则,而鉴权认证的逻辑应交给专门的技术组件来负责,因此让网关来统一处理鉴权是一个更优雅的方案。
RFC文档目录 地址1
FreeXploiT
06-05 7858
RFC1 主机软件RFC2 主机软件 RFC3 文档规范 RFC4 网络时间表RFC6 与 Bob Kahn 会话RFC10 文档规范RFC13 零文本长度的EOF信息RFC16 M.I.T RFC18 IMP-IMP和主机-主机控制联接 RFC19_可用来降低有限交换节点阻塞的两条协议性的建议RFC20_用于网络交换的 ASCII 格式RFC21 网络会议RFC22 主机-主机控制信息格式RFC
springsecurity认证授权
06-28
### 回答1: Spring Security 是一个强大的安全框架,提供了身份认证授权机制。身份认证是指验证用户是否是可信用户的过程,授权是指决定用户是否有权限执行特定操作的过程。 Spring Security 提供了很多内置的身份验证机制,如基于表单的身份认证、基于HTTP基本身份验证、OpenID身份验证等。同时,它还支持各种自定义身份认证机制。 在授权方面,Spring Security 可以为应用程序提供很好的访问控制。它支持基于角色、基于权限和基于表达式等多种授权方式,同时也支持自定义授权机制。 Spring Security 可以与各种技术集成,如Spring框架、Spring Boot、OAuth、CAS等。通过使用 Spring Security,开发者可以方便地为他们的应用程序提供强大的身份验证和授权功能,以保护他们的应用程序免受各种安全攻击。 ### 回答2: Spring Security是一个由Spring社区开发的安全框架,为Spring应用程序提供了全面的安全性。它提供了许多有用的功能,可以轻松地实现基于角色的用户权限控制和身份验证。Spring Security使得开发人员可以专注于开发特定的应用程序功能,而不必从零开始开发身份认证授权功能。 Spring Security提供了多种身份验证和授权机制。最常见的身份验证机制是基于用户名和密码的验证方式。Spring Security提供了基本的用户名密码认证,也可以集成第三方身份验证系统,例如LDAP或CAS,实现单点登录功能。Spring Security的授权机制使用基于角色或基于资源的授权策略,可以实现细粒度的授权控制。 Spring Security提供了多种配置方式,包括XML配置、Java配置和注解配置。XML配置方式提供了完全控制的能力,Java配置方式提供了更加优雅的配置方式,而注解配置方式则提供了更加简洁明了的配置方式。使用Spring Security,开发者可以灵活地选择使用哪种配置方式。 Spring Security的核心是安全过滤器链。每个过滤器都集中处理一个特定的安全问题。通过为过滤器链添加或删除过滤器,可以自定义应用程序的安全行为。 总之,Spring Security是一个非常强大和灵活的安全框架,可以帮助开发人员轻松实现应用程序的身份认证授权功能。开发人员可以根据自己的需求选择合适的身份认证授权机制,并通过配置方式实现灵活和优雅的安全策略。 ### 回答3: Spring Security是一个基于Spring框架的应用安全框架,提供了一整套的认证(authentication)和授权(authorization)机制,为Java应用程序提供了安全保护。它可以控制web应用程序的访问权限,保护用户信息的安全性,还可以进行单点登录(SSO)等操作。 在Spring Security中,认证授权是两个核心概念。认证是指验证用户身份的过程,包括用户名称和密码的验证。Spring Security提供了多种认证方式,如基于表单的认证、HTTP基本认证等。授权则是指决定用户能够访问哪些资源的过程。Spring Security利用安全框架来控制对URL的访问,以及哪些用户具有哪些权限来访问应用程序中的功能。 Spring Security使用过滤器链(filter chain)来保护应用程序。这个过滤器链包括了许多安全性过滤器,它们通过拦截HTTP请求和响应来提供安全保护。每个过滤器都扮演了不同的角色,完成不同的操作。例如,UsernamePasswordAuthenticationFilter用于处理基于表单的用户认证请求,而AccessDecisionManager用于决定用户是否有权访问特定的资源。 Spring Security还提供了许多有用的功能,例如自定义表单登录、注销、记住我、角色层次结构等。它还可以与许多常见的身份验证和授权方案进行集成,如LDAP、OAuth2等。Spring Security的强大功能和灵活性使得它成为一个非常流行的Java认证授权框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值