微服务架构之「 访问安全 」

最新推荐文章于 2024-04-30 09:17:07 发布
最新推荐文章于 2024-04-30 09:17:07 发布
阅读量3k 收藏 2
点赞数
分类专栏: Web相关技术 不止思考
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jsjwk/article/details/91831618
版权

应用程序的访问安全又是我们每一个研发团队都必须关注的重点问题。尤其是在我们采用了微服务架构之后,项目的复杂度提升了N个级别,相应的,微服务的安全工作也就更难更复杂了。并且我们以往擅长的单体应用的安全方案对于微服务来说已经不再适用了。我们必须有一套新的方案来保障微服务架构的安全。

在探索微服务访问安全之前,我们还是先来回顾一下单体应用的安全是如何实现的。

一、传统单体应用如何实现「访问安全」?

下图就是一个传统单体应用的访问示意图:

(图片来自WillTran在slideshare分享)

在应用服务器里面,我们有一个auth模块(一般采用过滤来实现),当有客户端请求进来时,所有的请求都必须首先经过这个auth来做身份验证,验证通过后,才将请求发到后面的业务逻辑。

通常客户端在第一次请求的时候会带上身份校验信息(用户名和密码),auth模块在验证信息无误后,就会返回Cookie存到客户端,之后每次客户端只需要在请求中携带Cookie来访问,而auth模块也只需要校验Cookie的合法性后决定是否放行。

可见,在传统单体应用中的安全架构还是蛮简单的,对外也只有一个入口,通过auth校验后,内部的用户信息都是内存/线程传递,逻辑并不是复杂,所以风险也在可控范围内。

那么,当我们的项目改为微服务之后,「访问安全」又该怎么做呢。

二、微服务如何实现「访问安全」?

在微服务架构下,有以下三种方案可以选择,当然,用的最多的肯定还是OAuth模式。

  • 网关鉴权模式(API Gateway)

  • 服务自主鉴权模式

  • API Token模式(OAuth2.0)

下面分别来讲一下这三种模式:

  1. 网关鉴权模式(API Gateway)

最低0.47元/天 解锁文章
不止思考
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rpc 微服务架构下的安全认证与鉴权1
08-08
微服务架构中,安全认证和鉴权是至关重要的,因为它们确保了服务之间的通信以及用户访问的正确性和安全性。随着从单体应用向微服务的转变,传统的认证和鉴权机制面临着新的挑战。本文将探讨这些挑战以及相应的解决...
《唯品会微服务架构演进之路.pdf》
01-25
3. 安全性:微服务架构可能会存在安全风险,例如数据泄露和未经授权的访问等。 结论 唯品会微服务架构演进之路PDF文件为我们提供了唯品会在微服务架构方面的实践经验和解决方案。通过了解唯品会微服务架构的演进之...
微服务之间的拦截器令牌传递问题
LIva_的博客
05-17 445
微服务之间的认证(令牌传递) 在使用拦截器进行微服务之间的令牌传递时,我在获取当前线程所有的request属性数据时遇到了 attributes始终为空的情况,经过反复检查代码排查逻辑,仍找不到问题所在。 最终我在琢磨hystrix时发现:如果使用Feign并开启熔断,则默认会采取线程池隔离,而feign调用和请求的线程不属于同一个线程,无法获取请求的线程数据,最终会导致无法获取请求的线程数据,会造成空指针异常。 我们知道微服务微服务之间实现认证,只需要将用户传递的令牌Authorization传递给其他
实录分享 | 微服务访问安全设计方案全探索
weixin_34120274的博客
09-01 276
今天给大家带来的是 数人云工程师文权在高效运维线上群的分享实录。从传统单体应用架构到微服务架构安全问题一直是人们关注的重点,文权与大家分享了关于微服务访问安全设计方案的探索与实践。 我们首先从传统单体应用架构下的访问安全设计说起,然后分析现代微服务架构下,访问安全涉及的原则,接着讨论目前常用的几种微服务架构下的访问安全设计方案。最...
微服务安全Spring Security Oauth2实战
最新发布
zz12345600354的博客
04-30 1217
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
什么是安全架构《二》
u014536648的博客
10-29 2020
===一般来说,甲方企业的构成基本脱离不开这种模式(忽略图有点丑…)。人员划分在合规,技术,运营三块,领域主要关注在基础安全,应用安全数据安全。当然根据组织架构的不同,团队构成也不甚相同。有的是按照技术视角去划分不同的团队,分出来基础安全团队,应用安全团队和数据安全团队。当然不可否认近几年开始把安全运维,可信计算等有关基础设施的全部划归到基础安全团队了。也有的是按照运营视角去做,这取决于企业内部安全建设的成熟度。但少有以合规视角去划分团队结构的,不过每每有合规性的工作却是需要涉及到整个安全的大团队。当然除
微服务架构实战第八节 微服务安全框架,认证与授权
fegus的博客
05-24 1425
25 服务安全:如何理解微服务访问安全需求和实现方案? 今天,我们又将进入一个全新的话题,讨论微服务架构中的服务访问安全性相关的需求和实现方案。在设计微服务架构时,安全性是一个重要但又往往被忽略的主题,很多开发人员缺乏对微服务安全访问机制的认识。另一方面,微服务安全性又是一个非常综合的话题,涉及的技术体系也比较复杂,让我们一起来看一下。 微服务架构中的安全性设计 对于微服务架构而言,安全性设计的最核心考虑点还是认证(Authentication)和授权(Authorization)。 认证与授权 在软件
网站服务安全访问(HTTPS)
weixin_45367149的博客
09-10 6206
Day50 网站服务安全访问(HTTPS) 1. 实现双主配置 第一个历程: 编写keepalived服务配置文件 lb01 vrrp_instance oldboy { state MASTER interface eth0 virtual_router_id 63 priority 110 advert_int 1 authentication ...
微服务技术架构设计图.pptx
03-27
首先,微服务架构的核心在于服务的解耦和独立部署。每个微服务都有自己的业务功能,它们通过API进行通信,而不是共享同一个数据库或代码库。这种设计使得每个服务可以独立地升级和扩展,减少了单一故障点并提高了...
微服务访问安全设计方案全探索
01-27
本文将探讨传统单体应用与微服务架构访问安全的设计原理及解决方案,重点在于如何在Spring Cloud微服务环境中确保访问安全。 一、传统单体应用的访问安全设计 传统单体应用的访问安全主要依靠身份验证和权限控制...
高可用微服务架构可扩展
01-29
综合以上,这个微服务架构旨在创建一个高度可用、可扩展、安全且易于维护的系统。API Gateway确保了系统的稳定性和安全性,JWT提供了无状态的鉴权,用户中心集中管理用户数据,Consul支持服务发现和配置管理,SQL ...
架构图
06-24
数据安全中的访问安全包含哪些内容,如何实现数据访问安全
无极低码
04-18 9336
此外,企业还应结合法律法规和行业标准,建立完善的管理制度和流程,确保数据访问安全措施得到有效落实。同时,采用自动化工具和智能分析技术,实时监测并防范潜在的安全威胁。数据安全中的访问安全是指为了保护数据不被未经授权的个人或程序访问而采取的一系列技术和管理措施。无极低码 :https://wheart.cn。
安全架构概述
hummhumm的专栏
04-29 1669
网络安全概述。
微服务架构下的安全认证与鉴权
EAWorld
06-19 2980
转载本文需注明出处:微信公众号EAWorld,违者必究。本文目录:一、单体应用 VS 微服务二、微服务常见安全认证方案三、JWT介绍四、OAuth 2.0 介绍五、思考总...
微服务系列之-微服务架构下的安全设计方案
weinichendian的博客
01-18 1033
文章目录前言一、微服务安全设计原则二、微服务常见的认证方案1.分布式Session2.API Tokens3.JWT4.Oauth25.Spring Cloud Security解决方案总结 前言 主要探讨一下在微服务架构下的一下安全设计方面的内容,包括JWT、OAuth2.0以及如何使用Spring Cloud Security实现保护服务接口、服务间的鉴权等。 一、微服务安全设计原则 微服务安全是在实际应用中的一个很普遍要求,安全主要关心调用者是谁, 调用者能干什么, 以及如何传播这个信息,也就是常
微服务架构方案-ZeroC IceGrid
localhost01
11-07 7570
title: 微服务架构方案-ZeroC IceGrid tags: [Ice,SpringCloud,Dubbo,Python,Java,gRPC] categories: 框架技术 date: 2018-11-07 00:02:25 前言 在聊ICE之前,我们说说目前主流的几个微服务架构方案。 Spring Boot/Cloud 由于 Spring 社区的影响力和 Netflix 的背...
Java微服务安全丨雪崩问题及解决方案
az44yao的专栏
02-17 274
如图,如果服务提供者I发生了故障,当前的应用的部分业务因为依赖于服务I,因此也会被阻塞。服务器支持的线程和并发数有限,请求一直阻塞,会导致服务器资源耗尽,从而导致所有其它服务都不可用,那么当前服务也就不可用了。船舱都会被隔板分离为多个独立空间,当船体破损时,只会导致部分空间进入,将故障控制在一定范围内,避免整个船体都被淹没。于此类似,我们可以限定每个业务能使用的线程数,避免耗尽整个tomcat的资源,因此也叫线程隔离。限流是对服务的保护,避免因瞬间高并发流量而导致服务故障,进而避免雪崩。
上网的烦恼
郭晓琳 廊坊师范学院十期提高班
09-23 1009
上网的烦恼 中秋节前一天晚上电脑突然不能上网了,我也没在意,反正“管理员”总是很忙嘛,所以我就没有再多想,以为明天就好了。结果第二天来了突然有了一个大的surprise——电脑中病毒开不了机了!!没办法只好重装系统喽,装完之后发现改了IP地址还是不能正常上网,而且总是显示IP地址和别人冲突,和旁边新阳的设置对照了一下发现我的DHCP是打开的而她的是关着的,于是赶紧查了下这个DHCP究竟是怎么
微服务架构下的安全认证与鉴权策略详解
总结来说,微服务架构下的安全认证与鉴权需要平衡性能、可扩展性和安全性。选择合适的方案时,需考虑网络开销、服务间通信的便利性以及对不同场景(如用户-服务、服务-服务)的适应性。JWT和OAuth2.0等技术在此过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值