OAuth2.0协议(五)、可落地的微服务混合jwt和token模式

最新推荐文章于 2023-03-18 14:16:19 发布
最新推荐文章于 2023-03-18 14:16:19 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: 认证授权 文章标签: 微服务 microservices jwt token 非对称加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_lihongmin/article/details/122380346
版权

原则上token只要满足唯一性、不连续性、不可猜性就可以,但是针对于内网和外网需求场景在安全性和扩展性上要求是不同的。一般内网环境可以使用jwt,而外网则要使用普通的token。使用普通token其本身不能像jwt一样通过工具类反解析就可以获取信息,而是需要调用授权服务,授权服务调用存储的redis或者mysql存储才能知道绑定的资源和资源粒度。

如果微服务架构体系需要同时支持内外网基于token而非session的系统,那么本架构应该适用大部分体量的架构,如下图:

架构图例说明:

1、Customer、EU(End User)这里可能是浏览器或者Android、ios的前端,并且这里可能是内网环境也可能是外网环境,其中如果是内网环境可以使用jwt,如果是外网环境最好使用token;

2、Nginx层,负载均衡、反向代理、静态缓存 不啦不啦。。。

3、Web层即前后端分离后的前端应用部署的位置,由前端团队维护,可以基于Spring MVC+模板引擎(Thymeleaf等),当然现在的项目基本都是基于node.js 技术栈;

4、API网关,前些年微服务选型可能会基于Zuul,现在基本都会基于 Spring Cloud Gateway进行搭建;

    gateway网关的拆分部署粒度:这里的网关层可以基于B端和C端流量的隔离,也可以进一步按照前端的分类进行隔离,也可以基于流量的大小进行隔离等;我们可以基于gateway的filter等拦截器技术实现,限流、日志监控、已经CORS等功能。

    这里gateway还承担着两个重要的角色,

 5、IDP服务

IDP 是 Identity Provider 的简称,主要负责 OAuth 2.0 授权协议处理,OAuth 2.0 和 JWT 令牌颁发和管理,以及用户认证等功能。IDP 使用后台的 Login-Service 进行用户认证。对于 IDP 的技术选型,当前主流的 Spring Security OAuth,或者 RedHat 开源的 KeyCloak,都可以考虑。其中,Spring Security OAuth 是一个 OAuth 2.0 的开发框架,适合企业定制。KeyCloak 则是一个开箱即用的 OAuth 2.0/OIDC 产品。

6、 BFF 层

BFF(Backend for Frontend)主要用于对前端的后端领域服务的聚合、个人的开发经验中该层可以聚合下层多个微服务或者领域的数据,进行服务调用的编排。并且这一个可能会使用线程池并行对多个相互独立的领域数据进行调用,再在主线程中处理聚合维度的数据。并且这一层可以在业务允许范围内进行该层的数据缓存。

7、微服务层

    微服务层个人接触的很多项目可能没有BFF层,则其代码就下沉到单个的微服务中,整个微服务的边界控制非常乱。按照该架构模型需要在微服务的filter层处理接口需要的token关联的上下文信息。

具体个人认为有两种方式处理token和jwt流程:

1、gateway的filter层统一根据白名单验证token和jwt,验证token的时效性等,jwt比较简单只需要一个Util工具类进行反解析放入ThreadLocal,如果下面服务需要在线程池(或切换线程)中还能使用,可以将ThreadLocal换为阿里的TransmittableThreadLocal。

这样做的效果就是统一,从网关服务以下的都只有jwt,底层不用再调用认证服务,底层代码统一。不好的就是不论接口本身是否需要外网token的用户和认证信息,都在网关层执行了一次rpc,有一定的性能损耗,最好是将token转jwt的信息存放在redis中。

 

2、也可以不在网关层做处理,只是底层需要解析数据时,才去调用rpc,这样做的好处就是资源的利用;但是需要两个filter处理token和jwt。

 

根据自己经历的项目对BFF层的思考,也欢迎讨论:

1、BFF层按照什么进行拆分?

首先BFF的全称Backend For Frontend,既然是for 前端那么拆分粒度自然以前端为主,再分解下层微服务的粒度进行整合。个人理解可以按照下面的粒度进行拆分:

  1. BFF是为前端做的聚合,那么可以先按照前端的端进行拆分,也就对B端流程和C端流程进行了隔离;
  2. 每个端可以再按照业务领域进行拆分,比如有个复杂的APP: 首页BFF、门店BFF、搜索BFF、活动BFF等;
  3. 如果某些业务比较复杂,也可以单独抽取一个BFF,比如自己之前的 单品页BFF,去统计底层各个维度的数据,开了17个子线程的任务去查询,然后再在主线程中阻塞组装结果。

2、BFF层本身还需要进行分层吗?

     看业务复杂度,如果非常复杂可以考虑分层,最好不要分层。gateway层其实已经可以对BFF拆分抽象做分组,比如B端流量和C端流量。并且从BFF往Gateway层抽就比较方便了,只是增加Gateway和修改yml配置。

3、BFF可以连数据库吗?

如果是B端可以考虑连库,C端主要作用是聚合底层各路数据,所以经常会涉及线程池并发异步进行获取,如果业务允许,该部分还可以有自己维度的缓存。

这个几篇文章一直在分析OAuth2.0协议的各种类型和适用场景,但是最好不要学习了之后为了用而用,可以做以下的思考和讨论:

  • 一定要使用OAuth2.0协议吗?
  • 要使用OIDC协议吗?要使用sso单点登录吗?
  • gateway网关与认证服务IDP服务要分开(独立成服务)吗?IDP与登录服务要单独部署(独立成)吗?
  • 一定要使用混合模式,并且实现OAuth2.0的token转jwt吗?可能公司知名度就很低,没有攻击的价值,并且开发人员的情况就比较低,不适合复杂的权限认证体系。

可能答案都是否定的,没有最好的形态,适合当前项目架构的就是最好的,但是要知道服务发展的后续该怎么调整,知道业界的一些标准。

这里一直没有讨论授权认证体系,和权限模型的具体实现,个人理解可以根据公司和项目需求的情况,做一下的权衡:

  1. 完全自研(根据Oauth2.0等协议,设计实现)
  2. 基于shiro、spring security等框架进行搭建,同时两个框架都能集成OAuth2.0、OIDC
  3. 使用三方产品,【CAS、KeyClack(开源可定制开发)】、Authing等

it_lihongmin
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java实现oauth2.0服务端+客户端(含JWT
12-15
总结来说,这个项目涵盖了OAuth 2.0授权框架的实现,包括服务端和客户端,利用了Apache OLTU库,同时结合MD5进行数据加密,以及JWT进行安全的身份验证。通过这个项目,开发者可以深入理解OAuth 2.0的工作原理,并...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
12 | 架构案例:基于OAuth 2.0/JWT微服务参考架构
weixin_39924752的博客
03-11 444
在实际场景中,Web Session 并非唯一选择,也可以采用简单的客户端 Session 方式,也称无状态 Session,也就是在客户端浏览器 Cookie 中保存 OAuth 2.0 访问令牌。全程使用oauth2令牌,那么网关之后的每个微服务都需要自己根据令牌token去idp或者redis或者mysql中去查询用户信息,如果全程使用jwt令牌,主要是还是由于jwt自包含用户信息,存在暴露用户信息的安全风险。或者,IDP 的登录授权页面,可以通过 Nginx 直接暴露,API 接口则走网关。
OAuth2.0 - 使用JWT替换TokenJWT内容增强
小毕超博客
01-16 7980
一、OAuth2.0 上篇文章我们讲解了OAuth2.0的几种认证模式,前面的讲解Token采用OAuth2.0自带的方式生成的Token,但是这种方式也存在这弊端,通过前面的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 因此我们可以采用JWT生成令牌,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行
Spring cloud入门-OAuth 2.0(三)JWT集成
weixin_42324034的博客
10-23 859
OAuth 2.0之(三)JWT集成JWT简介JWT组成创建oauth2-jwt-server模块使用jwt 存储扩展JWT中存储的内容解析JWT中的内容刷新令牌使用Redis 存储令牌 JWT简介 JWT是JSON WEB TOKEN的简写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT组成 JWT组成有三部分 Header Payload Signature Header 中存在签名的生成算法,比如 { "alg": "
OAuth2.0实战(三)-使用JWT
JavaEdge全是干货的技术号
10-19 2842
授权服务的核心就是颁发访问令牌,而OAuth 2.0规范并没有约束访问令牌内容的生成规则,只要符合唯一性、不连续性、不可猜性。可以灵活选择令牌的形式,既可以是没有内部结构且不包含任何信息含义的随机字符串,也可以是具有内部结构且包含有信息含义的字符串。 之前生成令牌的方式都是默认一个随机字符串。而在结构化令牌这方面,目前用得最多的就是JWT令牌。 什么是JWT? JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,
SpringSecurity学习(八)OAuth2.0、授权服务器、资源服务器、JWT令牌的使用
Huathy的博客
03-18 4006
OAuth2协议、授权服务器搭建、资源服务器搭建、JWT令牌的使用
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
JWT 在 OAuth 2.0 中扮演了重要的角色,尤其是在授权令牌的生成和验证上。 OAuth 2.0 是一个授权框架,它允许第三方应用在用户许可的情况下访问其私有资源。OAuth 2.0 主要用于 API 的身份验证和授权,如 Google、...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
oauth2-jwt:示例OAuth 2.0和JSON Web令牌集成
05-02
OAuth 2.0和JSON Web Token (JWT) 是现代Web应用程序中常见的安全认证与授权机制。这个`oauth2-jwt`项目提供了一个示例,演示了如何在Java环境中集成这两种技术,实现安全、高效的身份验证流程。以下是关于OAuth 2.0...
spring security oauth2.0整合jwt实现登录
weixin_43083853的博客
03-02 921
本文需要读者具备一定的Oauth2.0相关的技术支持,以下不多阐述登录功能是项目中必不可少的一环,本文以Spring Security Oauth2 + JWT为例实现密码登录,验证码登录和授权码登录获取token并以gateway作为资源服务器统一验证和鉴权的功能。可以用jdk自带的工具keytool生成私钥公钥的文件,即jks证书,再后续的jwt加密方式和token的验证方式需要用到生成方式: 管理员身份打开jdk的bin目录执行一下命令-alias: 别名 -keyalg: 指定密钥的算法 -keyp
Spring Security+JWT+OAuth2实现同一账号重复登录时第一次登陆成功的强制下线(包括多平台使用同一个登陆系统的)
m0_53559551的博客
07-08 3467
引言 我们后台项目是用Spring Security+JWT+OAuth2做的安全框架,现在有个需求就是同一账号重复登录时第一次登陆成功的强制下线。尝试了很多方法无果,当时真的是被弄得焦头烂额了。最后功夫不负有心人,最后找到了解决方案,下面跟大家分享下。 单平台 具体实现方案就是重写DefaultTokenServices的createAccessToken方法(下发token的方法) 虽说是重写但是我们新建了一个SingleTokenServices类,将DefaultTokenServices中的方法复
Spring Cloud Security:Oauth2结合JWT使用
Lyndon的专栏
09-22 1279
Spring Cloud Security:Oauth2结合JWT使用
普通令牌tokenjwt令牌token区别以及使用场景
西京刀客
08-26 8515
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
扩展jwt解决oauth2 性能瓶颈
weixin_33953384的博客
03-18 343
oauth2 性能瓶颈 资源服务器的请求都会被拦截 到认证服务器校验合法性 (如下图) 用户携带token 请求资源服务器 资源服务器拦截器 携带token 去认证服务器 调用tokenstore 对token 合法性校验 资源服务器拿到token,默认只会含有用户名信息 通过用户名调用userdetailsservice.loadbyusername 查询用户全部信息 如上步骤在实际使用,会...
Spring Security OAuth2 实现多人登录互踢下线
weixin_46244630的博客
09-01 1601
若想实现,多终端的唯一性登录,只需要使得同一个用户在多个终端生成的 token 一致,加上上文提到的 createToken 修改逻辑,既去掉extractKey 的 clientId 条件,不区分终端即可。如上代码,我们实现用户单一终端的唯一性登录,什么是单一终端 我们可以类比 QQ 登录 移动端和 PC 端可以同时登录,但 移动端 和移动端不能同时在线。重写发放逻辑createAccessToken,当用户管理的令牌存在时则删除重新创建,这样会导致之前登陆获取的token 失效,顺理成章的被挤掉。...
oauth2.0--基础--04--搭建JWT
zhou920786312的博客
11-01 870
1、介绍 框架:spring sercurity+oauth2.0+JWT 需要完成下面的内容 oauth2.0–基础–03–简单搭建认证服务器,资源服务器 2、JWT 2.1、JWT 概念 JSON Web Token 一种简介的、自包含的协议格式 用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。 JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。 2.2、优点 jwt基于json,非常方便解析 可以在令牌中自定义丰富的内容,易扩展 通过非对称
Keycloak Oauth2.0流程 --- Angular前端 + Django后端 + Keycloak 实现SSO功能
wdquan19851029的专栏
01-07 5634
前言: 一个企业往往拥有多个应用系统,如果每个应用都有独立的用户认证和授权管理功能,这不仅需要运维人员维护多套用户管理系统,用户使用每个系统时都要登录一次,非常不方便。如果能够将所有应用系统的用户集中管理,用户就使用一套用户名登录所有系统,这将会大大改善用户体验。本文前端Angular, 后端Django,基于Keycloak搭建单点登录系统。 前端代码部署到nginx, 前后端代码分开部署 前端Angular集成Keycloak: 前端要怎样集成Keycloak呢? 本文提供两种方式 ...
OAuth2结合JWT
Curtisjia的博客
11-01 2575
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
oauth2.0如何验验证 jwttoken
最新发布
08-23
OAuth2.0中,验证JWT Token的方式可以通过配置RemoteTokenServices来实现。当资源服务与授权服务不在同一处时,资源服务可以通过远程请求授权服务来验证JWT Token的有效性。这种方式可以避免资源服务直接解析和验证Token带来的性能压力。 具体实现步骤如下: 1. 在资源服务的配置文件中,配置RemoteTokenServices,设置授权服务的URL、ClientId和ClientSecret等信息。 2. 当资源服务收到请求时,从请求Header中获取JWT Token。 3. 调用RemoteTokenServices的方法,将JWT Token传递给授权服务进行验证。 4. 授权服务验证JWT Token的有效性,并返回验证结果给资源服务。如果Token有效,则资源服务可以继续处理请求;如果Token无效,则资源服务可以拒绝请求或者重新进行身份认证。 通过以上步骤,资源服务可以通过远程请求授权服务来验证JWT Token的有效性,从而确保接收到的Token是合法的。这种方式可以提高系统的性能,尤其在访问量较大时能够减轻资源服务的负担。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [OAuth2.0实战 使用JWT令牌认证](https://blog.csdn.net/Pastxu/article/details/124538331)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [OAuth2.0 - 使用JWT替换TokenJWT内容增强](https://blog.csdn.net/qq_43692950/article/details/122525414)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值