微服务-API网关-权限控制

最新推荐文章于 2024-07-29 21:30:49 发布
最新推荐文章于 2024-07-29 21:30:49 发布
阅读量6.2k 收藏 11
点赞数 2
分类专栏: 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haohzhang/article/details/108085662
版权

权限控制介绍

权限控制是一个古老的话题,你可能会想有没有什么权限设计方案可以满足所有的应用场景呢?

答案是没有,就像几乎所有问题一样,没有一种系统可以解决所有情况的,我们需要根据不同的场景和需求来设计不同的系统。

权限控制主要设计用户角色对象操作权限等对象。下面我先对这些对象做些解释,让大家先有个概念。然后我们再说说业界有哪些比较优秀的权限控制设计方案。

名词解释

用户

发起操作的主体。

角色

对于用户的抽象概念,类似于用户的属性,比如管理员就是一个角色。

可以是用户组,也可以是角色组,也可以是对象组。

对象

指操作所针对的客体对象,比如订单数据或图片文件。

操作

指作用于对象的动作,比如读取、写入。

权限

一般把对象和操作的对应关系和在一起叫权限,比如读取文件的权限,读取就是操作,文件就是对象。

权限控制设计方案

DAC

自主访问控制,英文全称是Discretionary Access Control

系统会识别用户,然后根据被操作对象(Subject)的权限控制列表(ACL: Access Control List)或者权限控制矩阵(ACL: Access Control Matrix)的信息来决定用户的是否能对其进行哪些操作,例如读取或修改。

而拥有对象权限的用户,又可以将该对象的权限分配给其他用户,所以称之为“自主(Discretionary)”控制。

这种设计最常见的应用就是文件系统的权限设计,如微软的NTFS。

DAC最大缺陷就是对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。

MAC

即强制访问控制,英文全称是Mandatory Access Control

MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC的设计中,每一个对象都都有一些权限标识,每个用户同样也会有一些权限标识,而用户能否对该对象进行操作取决于双方的权限标识的关系,这个限制判断通常是由系统硬性限制的。比如在影视作品中我们经常能看到特工在查询机密文件时,屏幕提示需要“无法访问,需要一级安全许可”,这个例子中,文件上就有“一级安全许可”的权限标识,而用户并不具有。

MAC非常适合机密机构或者其他等级观念强烈的行业,但对于类似商业服务系统,则因为不够灵活而不能适用。

ABAC

即基于属性的访问控制,英文全称是Attribute-Based Access Control

ABAC被一些人称为是权限系统设计的未来。

不同于常见的将用户通过某种方式关联到权限的方式,ABAC则是通过动态计算一个或一组属性来是否满足某种条件来进行授权判断(可以编写简单的逻辑)。属性通常来说分为四类:用户属性(如用户年龄),环境属性(如当前时间),操作属性(如读取)和对象属性(如一篇文章,又称资源属性),所以理论上能够实现非常灵活的权限控制,几乎能满足所有类型的需求。

例如规则:“允许所有班主任在上课时间自由进出校门”这条规则,其中,“班主任”是用户的角色属性,“上课时间”是环境属性,“进出”是操作属性,而“校门”就是对象属性了。为了实现便捷的规则设置和规则判断执行,ABAC通常有配置文件(XML、YAML等)或DSL配合规则解析引擎使用。

总结一下,ABAC有如下特点:

  • 集中化管理

  • 可以按需实现不同颗粒度的权限控制

  • 不需要预定义判断逻辑,减轻了权限系统的维护成本,特别是在需求经常变化的系统中

  • 定义权限时,不能直观看出用户和对象间的关系

  • 规则如果稍微复杂一点,或者设计混乱,会给管理者维护和追查带来麻烦

  • 权限判断需要实时执行,规则过多会导致性能问题

既然ABAC这么好,那最流行的为什么还是RBAC呢?

我认为主要还是因为大部分系统对权限控制并没有过多的需求,而且ABAC的管理相对来说太复杂了。Kubernetes便因为ABAC太难用,在1.8版本里引入了RBAC的方案。

RBAC

即基于角色的访问控制,英文全称是Role-Based Access Control

因为DAC和MAC的诸多限制,于是诞生了RBAC,并且成为了迄今为止最为普及的权限设计模型。

RBAC在用户和权限之间引入了角色的概念。

每个用户关联一个或多个角色,每个角色关联一个或多个权限,从而可以实现了非常灵活的权限管理。角色可以根据实际业务需求灵活创建,这样就省去了每新增一个用户就要关联一遍所有权限的麻烦。

由RBAC还可以做些扩展,比如下面两种方式。

角色继承

即Hierarchical Role,顾名思义,角色继承就是指角色可以继承于其他角色,在拥有其他角色权限的同时,自己还可以关联额外的权限。这种设计可以给角色分组和分层,一定程度简化了权限管理工作。

职责分离

即Separation of Duty,为了避免用户拥有过多权限而产生利益冲突,例如一个篮球运动员同时拥有裁判的权限(看一眼就给你判犯规狠不狠?),另一种职责分离扩展版的RBAC被提出。

RBAC模型

关系图

在这里插入图片描述

如图所示,每个用户关联一个或多个角色,每个角色关联一个或多个权限。权限是由一对对象和操作组成。

由此我们可以设计出主要的表结构关系。

表结构

用户角色表
userid roleid
10001 20001
角色权限表
roleid permissionid
20001 50001
权限表
permissionid objecteid operationid
50001 30001 40001

有了上面三张表,我们就有了完整的映射关系,还有些表是定义各个对象的,比如,

用户表
username email telephone status
zhangsan zhangsan@xxx.com 13411111111 enabled
角色表
roleid rolename rolecname
20001 developer 业务开发
操作表
operationid name describe
40001 Query 查询
对象表
objectid name type desc
30001 www.test.com 域名 test

API网关权限控制模型设计

API网关的权限控制,我们采用RBAC模型。

API网关里面的对象其实只有两种,一种是前端元素,比如菜单、按钮;另一种是API接口,比如某个微服务的查询域名接口。

对于前端元素,操作对象只有在页面上显示或者不显示;而对于API接口,操作对象只有能调用或者不能调用。

根据上面的分析,操作对象其实就可以省略了,那么我们的RBAC模型就更简单了。可以简化为下图,

最低0.47元/天 解锁文章
Make Dream Happen
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Gateway中使用SpringSecurity进行网关鉴权与权限控制
weixin_39654286的博客
11-16 1万+
需求设求 众所周知,一切架构都必须按需求来设计,万能构架基本上是不存在的,即使是像Spring Security安全架构也只是实现了一个能用方式,并不是放之四海而皆准的,但是一个构架的良好扩展性是必须的,可以让使用者按照自己的需要进行扩展使用。所以为了说明本示例的实现,先假定这样一个需求 1,需要有一个Web网关服务进行权限统一认证 2,网关后面有一个用户管理服务,负责用户账号的管理 3,网关后面还存在其它的服务,但是这些服务需要认证成功之后才能访问 4,需要支持同一个请求可以被多个角色访问 主要技能点说明
【鸿蒙实战开发】HarmonyOS 应用权限管控流程
HarmonyOS_001的博客
06-29 1048
有很多小伙伴不知道该从哪里开始学习鸿蒙开发技术?也不知道鸿蒙开发的知识点重点掌握的又有哪些?自学时频繁踩坑,导致浪费大量时间。结果还是一知半解。所以有一份实用的鸿蒙(HarmonyOS NEXT)全栈开发资料用来跟着学习是非常有必要的。获取完整版高清学习资料,请点击→鸿蒙全栈开发学习资料(安全链接,请放心点击)
微服务-API网关Zuul
学习技术的路上不断沉淀自己
10-31 259
Why 微服务为什么需要API网关, 因为在微服务架构中,后端服务往往不直接开放给客户端,而是通过一个API网关根据请求的url, 路由到相应的服务。当添加API网关后,在第三方客户端和后端服务之间就创建了一面墙,这面墙直接与调用方通信进行权限控制,而后将请求均衡分发给后台服务端。Spring Cloud提供了解决方案: zuul网关. Zuul简介 Spring Cloud Zuul路由是微服务架构的不可或缺的一部分,提供动态路由,监控,弹性,安全等的边缘服务。Zuul是Netflix出品的一个基于JV
微服务认证鉴权-API网关
WeiJiaXiaoBao的专栏
08-10 895
网关的认证授权,用户token和渠道token
微服务-API网关-整体架构思考
炮哥技术分享
08-18 819
API网关 API网关介绍 API网关这个东西的提出其实已经有些年头了,以前主要是运用在开放平台这样的对外提供接口服务的部门,随着微服务概念越来越深入人心,API网关也越发的流行了。 现在各个部门都可以把自己的服务通过API网关暴露给其他部门或者公司外部使用,和Service Mesh一起作为微服务管理的标准解决方案。 API网关就是进入各个服务的统一入口,API网关里面管理着一堆微服务,外面的客户端想要访问里面的微服务就需要先通过API网关,然后API网关对请求处理之后再发送到各个微服务中去,微服务处理完
微服务---API网关(nginx、zuul)
Aizen_Sousuke的博客
06-10 762
Nginx Nginx由内核和模块组成: 内核:仅仅通过查询配置文件与客户端请求URL匹配,启动不同模块完成相应工作 模块:启动nginx后,模块自动被加载。每个模块都有可能处理某个请求,但是同个请求只能有一个模块完成 nginx启动后,会有一个Master进程和多个Worker进程。采用异步非阻塞的方式来处理请求。当Nginx上的进程数与CPU核数相同时,进程间切换代价时最小的 Nginx配置负载均衡后,进入网关网关决定进到哪个真是的web服务器 负载均衡 负载均衡从upstream模块定义
微服务-API网关-身份验证
炮哥技术分享
08-18 4287
API网关-身份验证 身份验证介绍 身份验证通常是进入系统的第一道大闸,要求用户出具登录此系统的身份证明。 其实在实际情况下,很多人开发的系统都没有身份验证功能或者就只有普通用户名和密码验证功能,这样的系统其实都是不完善的,也是不符合安全标准的,所以作为这么大众化的系统,我们有必要做详细的学习和了解。 ##身份验证分类 对于身份验证,我们分两种情况来看待,界面登录验证和接口调用验证,这两种方式所使用的身份验证方法很多时候是不一样的。 界面登录验证 指用户通过前端(包含浏览器端和移动端)来进入系统,用户一旦登
微服务--Gateway--服务网关
wmd13164306712的博客
08-29 4188
大家都都知道在微服务架构中,一个系统会被拆分为很多个微服务。那么作为客户端(pc androud ios 平板)要如何去调用这么多的微服务呢?如果没有网关的存在,我们只能在客户端记录每个微服务的地址,然后分别去调用。这样的架构,会存在着诸多的问题:客户端多次请求不同的微服务,增加客户端代码或配置编写的复杂性认证复杂,每个服务都需要独立认证。存在跨域请求,在一定场景下处理相对复杂。(跨域: 浏览器的ajax从一个地址访问另一个地址:
微服务-Gateway网关
u011635719的博客
12-29 507
一个房屋有一个统一的大门,大家通过大门进入房内。微服务网关相当于微服务的大门。Spring Cloud Gateway是Spring官方基于Spring 5.0,Spring Boot 2.0和Project Reactor等技术开发的网关作为Spring Cloud生态系网关,Spring Cloud Gateway旨在为微服务架构提供一种简单而有效的统一的API路由管理方式,统一微服务入口,后台服务不暴露自身地址基于Filter链的方式提供了网关基本的功能,例如:安全,监控/埋点,和限流等。
微服务--熟练掌握网关(包括权限认证)
最新发布
weixin_62432037的博客
07-29 976
无论是还是都支持自定义,只不过编码方式、使用方式略有差别。自定义不是直接实现,而是实现。@Component@Override@Override// 获取请求// 编写过滤器逻辑System.out.println("过滤器执行了");// 放行注意:该类的名称一定要以为后缀!spring:cloud:gateway:- PrintAny # 此处直接以自定义的GatewayFilterFactory类名称前缀类声明过滤器@Component。
微服务架构-服务网关.docx
04-08
微服务架构-服务网关 微服务架构中网关(Zuul)的相关功能、优缺点进行相关的普及和介绍。微服务网关是系统的唯一对外的入口,介于客户端和服务器端之间的中间层,处理非业务功能提供路由请求、鉴权、监控、缓存、...
micro-core-gateway:轻量级微服务 - 服务网关
05-01
8. **API管理**:服务网关可以作为统一的API入口,对外提供API管理和版本控制,便于管理和维护。 在“micro-core-gateway-master”这个压缩包中,包含了项目源码,开发者可以通过阅读和学习这些代码,了解如何实现...
微服务Api网关框架11-20.7z
06-24
微服务API网关是现代分布式系统中的重要组件,它作为客户端与后端微服务之间的桥梁,负责请求路由、身份验证、权限控制、负载均衡、缓存处理等多种功能。本资料包"微服务Api网关框架11-20.7z"主要探讨了基于...
goku-api-gateway:纯Golang中强大的HTTP API网关!Goku API Gateway(中文名称:悟空API网关)是一个基于Golang开发的微服务网关,能够实现高效的HTTP API转发,服务编排,多租户管理,API访问权限控制等目的,拥有强大的自定义插件系统可以自行扩展,并提供友好的图形化配置界面,能够快速帮助企业进行API服务治理,提高API服务的稳定性和安全性
01-30
Goku API网关是基于Golang的微服务网关,可实现高性能的动态路由,服务编排,多租户管理,API访问控制等。它也适用于微服务系统下的API管理。 Goku提供图形界面和插件系统,使配置更容易,扩展更方便。 摘要/ 为...
微服务架构之网关1
08-03
API网关微服务架构中一个至关重要的组成部分,它作为系统的统一入口,负责处理各种非业务逻辑的功能,如权限验证、流量控制、熔断降级等。 1. API网关介绍: - API网关微服务架构中的核心组件,它解决了微服务...
微服务-API网关-协议转换(泛化调用)
炮哥技术分享
08-26 6897
RPC和REST的区别 REST和RPC是两种通讯方式,并不是协议,这一点大家要注意。 REST是基于HTTP协议的,而RPC可以基于HTTP协议来实现,也可以通过TCP协议来实现。 业界普遍采用的做法是,内部系统之间调用用 RPC,对外用 REST,因为内部系统之间可能调用很频繁,需要 RPC 的高性能支撑。对外用 REST 更易理解,更通用些。 API网关内部和外部通讯方式 在进行协议转换前我们要先思考一个问题,从什么协议转成什么协议呢? 我们说的协议转换是把客户端的请求协议转为微服务内部的接口协议,处
微服务-API网关-熔断降级
炮哥技术分享
08-26 5020
介绍 在微服务架构中,各个服务之间往往是级联在一起的,一个服务发生故障时可能会造成以下灾难: 服务依赖方调用超时,导致任务队列打满,引起链式反应,最终导致整个集群雪崩。 服务依赖方调用返回失败,引起链式反应,最终导致整个集群不可用。 所以需要在微服务不可用时切断故障服务与其他服务的通讯。 熔断是对服务提供者说的,由于某些原因(比如网络不通、服务挂了、请求处理不过来)造成服务提供者不能提供服务时,服务提供者就需要切断和服务调用者的连接,不然就造成资源浪费或者队列打满,从而导致链式反应。 降级是对服务调用者
微服务-API网关-负载均衡
炮哥技术分享
08-26 4924
外部负载均衡 外部指的是API网关所管辖的微服务,这些微服务如果部署的是单实例,那么如果发生故障了,服务就不可用了。那么如何解决这个问题呢? 做高可用有两种方式: HA:主服务和备用服务,只有在主服务挂了的时候备用服务才能顶上。 LoadBalancer: 负载均衡,多个服务实例按照某种策略被轮着访问。 我们在这里采用负载均衡的方式,说到负载均衡,你可能想到了Nginx、Apache、Haproxy,没错,这些都可以作为负载均衡器,但是我给各位的建议是尽量避免惯性思维。 为什么这么说呢? 就负载均衡本身
微服务架构中的API网关安全认证方案与集成实践
API网关认证方案是微服务架构中确保数据和服务安全的关键组成部分。它解决了在多服务环境中如何有效地实现应用与服务之间的安全访问以及服务间的安全控制问题。在微服务架构实施过程中,每个微服务都需要具备安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值