Open API 授权&鉴权机制设计

最新推荐文章于 2024-04-27 09:13:51 发布
最新推荐文章于 2024-04-27 09:13:51 发布
阅读量45 收藏
点赞数
文章标签: java 网络 服务器 数据库 linux
原文链接:https://mp.weixin.qq.com/s?__biz=MzA4MTk3MjI0Mw==&mid=2247502488&idx=1&sn=de3dd93cf300c0076a49693222d9f5c3&chksm=9e9e49929964d2b44fe905360812c1ebbe3566a1cb64ca9659d1797182902ef4ad7d6b81fc81&scene=126&sessionid=0
版权

「万事开头难,视频号500粉直播需要你的助力!你的支持是我前进的动力!」

09c75d197b4d3b8c6121f6b181db6ecb.png

来源:juejin.cn/post/7299736066423930914

概述

基于 OAuth2 建设 Open API 平台授权机制,通过安全标准的方式授权给外部,保证部门应用数据的安全性。

OAuth2 定义了4种授权方式,但目前只需要供客户端在后台调用即可,所以仅考虑凭证式授权方式。

c9075479e99b0280d0ad9f59ee3265a0.png

设计方案

整体流程示意图:

caf0d398206aaf94ad6af7c04c68bce8.png

下面按照上面提到的四大模块来进行分析:

客户端

客户端通常是第三方服务,通过 Open API 获取资源。

8c3ad5da5bc0c97755cd936b556d89f5.png

客户端获取资源步骤:

第一步,用户需要在开放平台登录,然后注册客户端凭证,注册过程中给该凭证指定权限范围(Scope),注册完后会生成 client_id 和 client_secret,其中 client_secret 需要保密管理。

第二步,利用上一步拿到的 client_id 和 client_secret 发起请求获取令牌。

第三步,调用 API ,并在请求头上附带令牌。

令牌会过期,过期后重新请求获取令牌即可。

区分两种权限类型:

  1. API 权限,用户创建客户端凭证时指定(Scope)

  2. 数据权限,继承用户的数据权限

授权服务

授权服务负责授权和维护客户端凭证与权限的关系。

依赖 spring-security-oauth2-authorization-server 组件来构建该服务。

spring-security-oauth2-authorization-server 组件里面提供了基于 OAuth2 实现的授权服务,开箱即用.

库表介绍

  1. oauth2_registered_client:spring-security-oauth2-authorization-server 组件依赖的表,记录已注册了的客户端凭证。

  2. oauth2_authorization:spring-security-oauth2-authorization-server 组件依赖的表,记录已生成的令牌。

  3. oauth2_user_registered_client_relation:记录用户和客户端凭证的关系。

  4. oauth2_scope:权限范围(模块),支持两个层级。

  5. oauth2_open_api:记录对外API清单以及与 scope 的关系。

各个表的关系如下:

f2d21ca123ec658b4eb3849ba223c6df.png

授权

目前仅支持凭证式授权方式,不需要刷新令牌,令牌过期后重新获取即可。

spring-security-oauth2-authorization-server 组件内置了授权接口 /oauth/token。

JWT

令牌使用 JWT 生成,使用 JWT 的好处是:

  1. JWT 是一种自包含结构,可以存放一些关键信息,不需要额外查询。仅使用 JWT 令牌即可完成校验令牌有效性的动作。

  2. JWT 令牌由客户端来保管,且在里面存放客户端信息,服务器端不需要维护客户端状态,有利于服务端的无状态化和水平扩展。

  3. JWT 令牌通过签名来防止信息被篡改。

坏处是:

  1. 虽然信息不能被篡改,但是还是有泄漏的风险,建议对内容进行加密。

JWT 可以到 JWT.IOhttps://jwt.io/网站解析。

网关

网关是客户端访问的唯一入口,是外部请求连接内部服务的桥梁,授权,鉴权,路由都在这里完成。

网关处理两类请求,一类是授权(获取令牌)请求,一类是获取资源请求。

授权(获取令牌)请求

这类请求逻辑比较简单,网关接收到后直接路由到授权服务。

79c343e4f39783a4c22fabcf90fc5118.png

获取资源请求

此类请求需要网关先到授权服务获取到权限信息,鉴权通过后再路由到资源服务。

7681f15c8db85781bc1bc7eef8177d03.png

注意,网关对鉴权通过的请求在路由前会设置请求头 Open-Api-Client-IdOpen-Api-User-Id,作用有两个:

  1. 可以通过这两个请求头判断是否是 Open API 请求。

  2. 资源服务可以从这两个请求头获取到 client_id 和 user_id 信息。

资源服务

资源服务是实际的资源提供者。

请求来到资源服务代表鉴权已经通过,可以通过请求头 Open-Api-Client-Id 和 Open-Api-User-Id 来获取 Open API 调用者 client_id 和对应的 user_id 信息。

请求

获取令牌

请求接口:/oauth2/token

请求方式:POST

请求头:

请求参数:

名称类型描述
client_idstringclient_id
client_secretstringclient_secret
grant_typestring授权方式,目前仅支持 client_credentials

响应字段:

名称类型描述
access_tokenstring令牌
token_typestring令牌类型,目前仅支持 Bearer
expires_inint过期时间,单位秒,令牌过期后需要重新获取
scopestring权限范围

响应示例:

{
    "access_token": "eyJraWQiOiJyc2EtandrLWtpZCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiI1MjMxODcwODQ5OTMxMjgwNTExIiwiYXVkIjoiNTIzMTg3MDg0OTkzMTI4MDUxMSIsIm5iZiI6MTY0NjAyODk1OSwic2NvcGUiOlsiMS0wIiwiMi0wIiwiMy0wIl0sImlzcyI6Imh0dHA6XC9cL3ZvZG1hcmtldHNzby55ZnhuLmxpemhpLmZtIiwiZXhwIjoxNjQ2MDMwMTU5LCJpYXQiOjE2NDYwMjg5NTksImNpZCI6IjUyMzE4NzA4NDk5MzEyODA1MTEifQ.Wn9APM9l64J761MJDs2nh61lITme575UyCXvyL0UftYEOebpoo60PSN3kLVGOXC5LIEztmzWF4ZcEOlkoHToU-9op3XML3e-HikmcpPOIExjDNdbimrY_zoHvzuX0LkTRxDNEwCrHkl7kHueJlwwXcaKM6jOLxyBD6wRL43DvaF4__hiI_RvMVh069SOgQlVRr0wpKtjegEfoXiMOhGYuRt_ArKBv8SWYjGL2Zz0dPA6Kxy8NowgVEHtwRRPSklSKPzq6sWsU9XMq1uGHBcf1EAMFD-CQAcFsL_b7oS4rGgOgT7kYDHRaMKGILnCEY4VZDA3FNTy1vnllumzN6quEA",
    "token_type": "Bearer",
    "expires_in": 1800,
    "scope": "1-0 2-0 3-0"
}

获取资源

获取资源请求需要包含 Authorization 请求头,示例:

Authorization = Bearer eyJraWQiOiJyc2EtandrLWtpZCIsImFsZyI6IlJTMjU2In0.eyJzdWIiOiI1MjMxODcwODQ5OTMxMjgwNTExIiwiYXVkIjoiNTIzMTg3MDg0OTkzMTI4MDUxMSIsIm5iZiI6MTY0NjAyODk1OSwic2NvcGUiOlsiMS0wIiwiMi0wIiwiMy0wIl0sImlzcyI6Imh0dHA6XC9cL3ZvZG1hcmtldHNzby55ZnhuLmxpemhpLmZtIiwiZXhwIjoxNjQ2MDMwMTU5LCJpYXQiOjE2NDYwMjg5NTksImNpZCI6IjUyMzE4NzA4NDk5MzEyODA1MTEifQ.Wn9APM9l64J761MJDs2nh61lITme575UyCXvyL0UftYEOebpoo60PSN3kLVGOXC5LIEztmzWF4ZcEOlkoHToU-9op3XML3e-HikmcpPOIExjDNdbimrY_zoHvzuX0LkTRxDNEwCrHkl7kHueJlwwXcaKM6jOLxyBD6wRL43DvaF4__hiI_RvMVh069SOgQlVRr0wpKtjegEfoXiMOhGYuRt_ArKBv8SWYjGL2Zz0dPA6Kxy8NowgVEHtwRRPSklSKPzq6sWsU9XMq1uGHBcf1EAMFD-CQAcFsL_b7oS4rGgOgT7kYDHRaMKGILnCEY4VZDA3FNTy1vnllumzN6quEA

其中,

  • Bearer代表令牌类型,后面跟着访问令牌。

API 权限通配符配置示例

这里给一些 API 权限配置示例(只是建议)

URI请求方式描述API 权限通配符配置(对应 oauth2_open_api 表 path 字段)
/api/demo_entities/{id}GET根据id获取资源GET_/api/demo_entities/{id:\d+}
/api/demo_entitiesPOST新建资源POST_/api/demo_entities,POST_/api/demo_entities/
/api/demo_entitiesGET查询资源GET_/api/demo_entities,GET_/api/demo_entities/
/api/demo_entitiesPUT更新资源PUT_/api/demo_entities,PUT_/api/demo_entities/
/api/demo_entities/{id}DELETE根据id删除资源DELETE_/api/demo_entities/{id:\d+}

cc0c4a6c9768c0e3b3a905b465fc1004.gif

BUG弄潮儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【人工智能 Open AI】通用 API 开放平台的系统架构设计
禅与计算机程序设计艺术
02-22 2万+
API 开放平台的系统设计,包括以下内容:目的:API 开放平台的主要目的是什么?功能:API 开放平台有哪些功能?架构:API 开放平台的架构如何?安全:API 开放平台的安全级别如何?接口API 开放平台支持哪些接口?版本:API 开放平台支持哪些版本?兼容性:API 开放平台是否兼容各种系统?测试:API 开放平台的测试方法是什么?监控:API 开放平台的监控功能如何?封装:API 开放平台支持哪些封装技术?开发者身份注册与数据权限范围授权
UGOpen API 中文帮助文档.chm
08-02
UGOpen API 中文帮助文档 UG OPEN API的开发模块是为了使NX和外部接口之间调用的一个开放平台。UG OPEN API包括: 用户可以调用API函数或子程序,使用NX图形交互,文件管理,数据库管理。 执行程序链接和运行用户...
如何优雅的为开放平台设计一个安全好用的OpenApi
竹林幽深
01-25 65
在提到对于开放接口的安全设计时,一定少不了对于摘要算法的应用(MD5算法是其实现方式之一),在接口设计方面它可以帮助我们完成数据签名的功能,也就是说用来防止请求或者返回的数据被他人篡改。本节我们单从安全的角度出发,看看到底哪些场景下的需求可以借助MD5的方式来实现。其入口参数有三个:key、data、mode。key为加密解密使用的密钥,data为加密解密的数据,mode为其工作模式。当模式为加密模式时,明文按照64位进行分组,形成明文组,key用于对数据加密,当模式为解密模式时,key用于对数据解密。
api postmain 鉴权_WebAPI常见的鉴权方法,及其适用范围
weixin_39726044的博客
12-18 183
在谈这个问题之前,我们先来说说在WebAPI中保障接口请求合法性的常见办法:API Key + API Secretcookie-session认证OAuthJWT当然还有很多其它的,比如 openid connect (OAuth 2.0协议之上的简单身份层),Basic Auth ,Digest Auth 不一一例举了1、API Key + API SecretResource + API K...
WebAPI常见的鉴权方法,及其适用范围
weixin_30570101的博客
10-15 920
在谈这个问题之前,我们先来说说在WebAPI中保障接口请求合法性的常见办法: API Key + API Secret cookie-session认证 OAuth JWT 当然还有很多其它的,比如 openid connect (OAuth 2.0协议之上的简单身份层),Basic Auth ,Digest Auth 不一一例举了 1、API Key + API Se...
开放平台的Open API设计
07-31
开放平台的Open API设计 开发者的抱怨 • 加密算法从没有听过! • 从其他平台迁移过来好难啊! • 说明文档看不懂
航班管家OPEN-API接口说明
11-01
航班管家OPEN-API接口说明
NXOpen Python API Refence 10.0.CHM
04-04
NXOpen Python API Refence 10.0 在线文档,经过下载整理,制作成了离线文档,便于在断网环境下学习。
NXopen API 中文帮助文档
04-21
UG二次开发 C++调用UG API 的所有参数 中文翻译版 方便查找
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 747
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 826
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1742
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1024
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
PageHelper实现分页查询
m0_63849044的博客
04-24 1062
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
C语言案例——输出 Fibonacci 数列(斐波那契数列)的前 40 项
悟道子HD
04-25 456
输出 Fibonacci 数列(斐波那契数列)的前 40 项 #include void main() { int a[40]= {1,1}; int i; printf( "%12d%12d",a[0],a[1]); for(i=2; i
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 325
待更新。
迭代器模式
LuckFairyLuckBaby的博客
04-23 696
迭代器模式(Iterator),提供一种方法顺序访问一个聚合对象中各个元素,而又不暴露该对象的内部表示。
Java的Arrays的基础知识
2301_80142564的博客
04-23 1205
Java中,Arrays是一个用于操作数组的工具类,它提供了很多静态方法来处理数组,如排序、搜索、比较等。这个类在java.util包中,因此在使用之前需要导入这个包。
tekla open api文档
01-07
Tekla Open API 是 Tekla Structures 软件的开放应用程序接口,允许用户和开发人员使用 C# 编程语言来定制和扩展 Tekla Structures 的功能。Tekla Open API 文档提供了详细的编程接口,包括类、方法和属性的说明,以及示例代码和教程来帮助开发人员快速上手。 在 Tekla Open API 文档中,用户能够找到各种各样的信息,如如何创建和修改模型对象、如何进行模型分析和检查、如何生成报表和图纸等。开发人员可以使用 Tekla Open API 来创建自己的定制工具和插件,满足特定的业务需求,提高工作效率。 Tekla Open API 文档中还包含了常见的编程问题和解决方案,以及对最佳实践和设计模式的讨论,帮助开发人员编写高质量、可维护的代码。 总的来说,Tekla Open API 文档是 Tekla Structures 软件的开发利器,为用户和开发人员提供了丰富的资源和工具,帮助他们定制和扩展 Tekla Structures 的功能,提高工作效率,满足特定的业务需求。通过学习和使用 Tekla Open API 文档,用户和开发人员能够发挥 Tekla Structures 软件的最大潜力,为建筑和结构设计领域带来更多创新和价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值