干货分享|如何将前端代理服务器(BFF)接入身份认证(3完结篇)

于 2024-07-03 15:52:36 发布
阅读量791 收藏 20
点赞数 29
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quanzhankaifaqua/article/details/140154372
版权

续集3

前篇文章在前面发布,同学们可以自行找一下。

本篇文章将继续通过实例来详细讲解如何将前端代理服务器(BFF)接入身份认证。我们将使用一个示例应用来演示 BFF 与身份认证的集成过程。

3 在 Full BFF 中接入认证平台

本小节将介绍如何在 Full BFF 中接入身份认证平台。Full BFF 不仅接管与身份认证平台的令牌获取过程,还接管了后续与资源服务器打交道的过程。通过使用 Full BFF,前端也不需要保存身份认证平台颁发的令牌了,在这种架构下,这将由 BFF 来保存。前端和 BFF 之间通过 Cookie 维持其单独的会话。

在数字化转型浪潮中,公司或者机构组织被迫在可维护性和安全性之间做出权衡,虽然在架构中采用原始的朴素 Naive BFF 层,在实现上最简单,维护起来也更省心,但这牺牲了安全性,在今天的自动化社会中,这种妥协是不可接受的。所以我们需要一个更安全的解决方案,这就是 Full BFF。

许多拥有单页应用程序、在前端使用 access_tokens 并采用微服务架构的公司,现在正努力将身份验证转移到服务器端。这个服务器端本质上就是 Full BFF。

我们再来回顾一个目前可能会面临的问题,假设一家公司已经实现了一套如图所示的无BFF 应用架构。

在这种架构中,前端应用程序直接与身份认证平台打交道,获取令牌,然后将令牌发送到后端服务,后端服务再将令牌发送到资源服务器,获取资源。即:

1前端应用程序:

·运行在浏览器中。

·通过将未经过身份验证的用户转到身份提供者来发起对用户的验证。

·当用户验证之后,前端单页面应用程序发起令牌请求。

·前端单页面应用将令牌随着 Authentication 头发送到后端服务进行 HTTP 调用。

2身份提供者:

·是 OpenID Connect 服务器。

·颁发令牌。

·验证用户的凭据,即用户在此处登录。

3API/微服务:

·通过令牌保护。典型的是只有在令牌有效时才允许访问 API。

·API 应用一个规则来决定一个用户是否已经被授权来访问/查看资源。换句话说,微服务,会实施访问控制策略。

这种架构有什么问题呢?下面来看看。

1)在前端进行令牌交换暴露了不必要的攻击向量

在这样的架构下,当用户登录时,授权码会发送到前端。前端必须拿这个授权码来换取令牌。

理论上没有办法分辨是谁在拿着授权码换取令牌。为了确保将令牌发送给想要发送的接收方,就需要使用客户端密钥。但是在这个架构下,没有使用客户端密钥。

2)令牌可以被盗用

由于令牌存储在前端,理论上很容易被盗用。

由于以上架构有着这样的问题,因此我们更推荐下面的方案。一般来说,要缓解上面提到的架构的安全风险,就需要将验证环节转移到服务器端。

这样的结果就是,解决方案架构会变得更加复杂(这也是在采纳该方案时需要仔细权衡的原因)。

为了能够在服务器端验证用户,就需要一个能够跟踪用户会话的组件,这个组件就是 Full BFF,如图所示。

上图的架构图包含:

1浏览器端的单页面应用。

·运行在浏览器端。

·和 API 处于同一个域名下。

·并不是用户验证的发起方。

2 BFF。

·负责托管单页面应用资源(index.html 和/dist 目录)。

·暴露 API。

·拥有 HTTP 会话状态。

·是验证用户的发起方(将用户重定向到身份提供者)。

3身份提供者。

·是一个 OpenID Connect 服务器。

·颁发令牌。

·验证用户的凭据,即用户在此处登录。

4API/微服务。

· 被令牌保护。一般来说,只有在令牌有效时才允许访问 API。

·API 应用一个规则来决定一个用户是否已经被授权来访问/查看资源。换句话说,微服务,会实施访问控制策略。

为什么 Full BFF 架构会更安全呢?主要有以下两个原因:

(1)令牌交换发生在服务器端。

对于攻击者来说,没有任何方式观察到 BFF 是怎么获取到令牌的,从而极难进行干预。

同时,由于验证过程也发生在服务器端,因此在交换令牌的过程中可以安全地包含客户端密钥。

这就意味着身份提供者可以验证究竟是谁正在获取令牌。

(2)更安全的会话管理。

如果要将令牌保存在浏览器端,一般就是保存在一个安全 Cookie、本地存储或者会话存储中。

如果攻击者找到了办法复制它们,就基本上劫持了会话。要防止这样的情况,前端就需要实现所有这些机制:预防会话劫持、防止 CSRF 攻击、防止 XSS 攻击等。

实现会话管理最好的方式是不要自行实现。微软(或者其他大型公司)已经为我们完成了这向工作。

工作原理分析:简单来说,BFF 就是一个反向代理服务器。但是 Full BFF 强调它不仅将流量传递到下游领域服务,它还在转发请求时添加 Authentication 头部。

Full BFF 会处理两种类型的请求。多数请求是由单页面应用发起的 API 请求。BFF 处理 API 请求的流程如图所示。

Full BFF 会将请求转发到 API,同时将令牌添加到 Authentication 头部。API 会验证令牌,然后返回响应。

Full BFF 还有网站托管能力,这意味着用户可以通过浏览器访问该 BFF。当用户浏览至该 BFF时,有一个特殊的端点:/login 端点。通过该端点,用户得以验证。验证用户的处理流程可以使用图来展示。

完结啦!BFF 的发展历程,以及每个阶段的 BFF 如何接入身份认证平台,本篇文章就已经全部讲清楚了。以后还会为大家带来喜欢的干货文章,请多多关注哦!

本文摘自《数字身份认证技术与实践》,获出版社和作者授权发布。

数字身份认证技术与实践——jd

全栈开发圈
关注
  • 29
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openapi-contract-example:示例项目,演示如何通过合约优先的OpenAPI规范连接前端BFF和微服务
05-09
OpenAPI合同示例该示例项目演示了如何使用合同优先的和自动代码生成功能,通过HTTP接口连接基于浏览器的前端应用程序,后端对前端应用程序和... 这将在本地端口10081上启动BFF。 在子目录frontend-application打开一
前端BFF中间件是什么?
_
01-23 4053
原文地址:https://www.jianshu.com/p/eb1875c62ad3 本文主要内容: 什么是 BFF BFF 解决了什么问题 使用 BFF 的正确姿势 实战中的玩法 什么是 BFF BFF,即 Backend For Frontend(服务于前端的后端),也就是服务器设计 API 时会考虑前端的使用,并在服务端直接进行业务逻辑的处理,又称为用户体验适配器。BFF 只是一种逻辑分层,而非一种技术,虽然 BFF 是一个新名词,但它的理念由来已久。 BFF 解决了什么问题.
浅谈BFF架构
weixin_51220967的博客
10-24 6532
BFF是服务于前端的后端,全称。BFF的位置在与客户端与服务端中间,起到一个中间件的作用。
BFF——服务于前端的后端
最新发布
2401_84092868的博客
05-10 695
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
什么情形下应该使用BFF?带你了解BFF的优势,即服务于前端的后端
Coding home - 漂流瓶jz
06-04 2415
BFF是一种Web架构,全名为Backends For Frontends,即为服务于前端的后端。。BFF一般指的是在前端与后端之间加增加一个中间层。为什么要在前端和后端之间增加一个BFF层呢?
[微服务/API时代的前端开发] BFF入门--5个实用的BFF使用案例
weixin_45987961的博客
01-11 5310
前言 在本系列“微服务/API时代的前端开发”中,我们将介绍当前备受关注的BFF(Backends For Frontends)。这一篇,我们将介绍 BFF 的五个典型使用案例。 在之前的[微服务/API时代的前端开发] BFF超入门--Netflix、Twitter、Recruit选择BFF的理由一文中,我介绍了BFF的概要和案例。 可能很难理解 BFF 是做什么的,简单地说,API 服务器负责业务领域的逻辑部分,而 BFF 是支持用户界面的服务器。如果Web应用可以使用领域逻辑简单地创建...
前端传值后端接收不到_BFF 架构——服务于前端的后端
weixin_39527372的博客
12-26 223
什么是 BFFBFF 全称是 Backends For Frontends (服务于前端的后端),起源于 2015 年 Sam Newman 一篇博客文章《Pattern: Backends For Frontends —— Single-purpose Edge Services for UIs and external parties》。前端演化史Web 1.0让我们从14年IT振兴的时候开始...
darzana:后端到前端的DSL(BFF
02-02
Darzana是后端到前端BFF)的DSL。 Darzana具有以下功能: 异步调用API 通过描述Swagger规范定义API 通过BeanValidation验证表单参数 渲染HTML模板 例子 ( control/defroute " category/create " :post ( ...
render-server:支持前端项目部署、接口测试、接口文档、插件开发的BFF
05-28
Render-Server 作为中间件服务,根据路由的匹配配置来渲染对应的前端入口页面和接口代理转发,结合相应的插件可以实现后端服务的对接、数据mock、登录验证等功能 功能列表 一键部署 npm run deploy 支持集群部署配置...
CSS3实现一款联系表单 输入框带小图标.zip
03-15
接下来,我们将使用CSS3来添加图标和美化表单。CSS3允许我们使用伪元素如`:before`和`:after`来插入内容,并通过`content`属性插入图标。例如,我们可以为每个`<label>`元素添加一个小图标: ```css label { ...
nestjs-bff:完整的TypeScript解决方案和入门项目。 包括API,CLI和示例客户端Webapp。 功能包括生产级日志记录,授权,身份验证,MongoDB迁移和端到端测试
01-31
Nestjs-BFF概述 状态该库当前处于“冰冻状态”,目前不再处于主动维护状态。 但是,它仍然可以作为有用的参考,以供他人参考如何围绕NestJS平台构建可用于生产环境的应用程序。 另外,在将来某个不确定的时间点,库...
[微服务/API时代的前端开发] BFF进阶--实践中常见的3种反模式
weixin_45987961的博客
01-13 464
前言 上一篇介绍了BFF相关的5个使用案例。本篇将结合笔者在实际项目中多次采用BFF的经验来说明反模式出现的原因和相应的解决方法。 BFF 是一种架构模式,但并不是任何情况都适用。如果对它的优缺点了解不够透彻,就冒然采用的话,你可能会后悔。我在实际项目中多次采用了BFF,但并非所有项目都很成功。相反,由于引入的新的东西,从而产生了一些新的问题,而且责任范围的改变也造成了一些项目上的失误。 因此,这一篇,我将根据我的经验介绍以下三种BFF反模式。反模式名称是我自己取的,是为了方便起见,命名如下: ..
微服务/API前端开发时代之 BFF 速学入门教程
React_Community的博客
04-27 1912
什么是BFF(Backends For Frontends)顾名思义,它是前端的后端(服务器)。专门为前端而调用API,或者生成 HTML 的服务器。看到这里你可能会想,“这与传统的Web应用服务器有什么不同?”。本质上是一样的,只是专门为前端打造这一点不同而已。首先,Web应用服务器有如下几种用途:从数据库和全文搜索引擎等中间件获取和更新数据创建一个页面作为HTTP接口...
BFF模式:微服务前端数据加载的最佳实践?
程序员成长指北
04-07 743
作者|Viduni Wickramarachchi译者|吴留坡策划|田晓旭设想一个场景,你需要使用微服务构建电子商务应用程序。你可以为客户、订单、产品、购物车等提供微服务,微服务暴露 AP...
BFF —— Backend For Frontend
adsadadaddadasda的博客
08-01 1585
本文主要内容: 什么是 BFF BFF 解决了什么问题 使用 BFF 的正确姿势 实战中的玩法 什么是 BFF BFF,即 Backend For Frontend(服务于前端的后端),也就是服务器设计 API 时会考虑前端的使用,并在服务端直接进行业务逻辑的处理,又称为用户体验适配器。BFF 只是一种逻辑分层,而非一种技术,虽然 BFF 是一个新名词,但它的理念由来已久。 BFF...
前端BFF层——NodeJS在项目中的位置
热门推荐
yellowpig1210的专栏
09-03 1万+
“大前端”是最近起来的概念。和传统的前端相比,“大前端”有两个方面的扩展。一个是端的多样性,比如新增了iOS,Android,小程序,公众号等等。另外一个是往后端扩展,比如Node.js的兴起,或许写后端服务没有Java成熟,写BFF还是可以胜任的。 之前一直疑惑为何前端招聘中普遍要求有nodejs基础和后端开发经历,没有想出用nodejs写的后台在公司中担任什么角色。 今天有幸读到玉伯的...
[微服务/API时代的前端开发] BFF超入门--Netflix、Twitter、Recruit选择BFF的理由
weixin_45987961的博客
01-11 1396
前言 在本系列“微服务/API时代的前端开发”中,我们将介绍当前备受关注的BFF(Backends For Frontends)。这一篇,我们将主要介绍BFF的概要和例子,作为“超入门”。第2部分将介绍如何创建BFF,第3部分将介绍由前端开发人员使用BFF创建微服务/API的过程。 目标读者是那些Web应用开发经验的人、前端开发人员、以及那些正在构建微服务的人。 什么是BFF(Backends For Frontends)? 顾名思义,它是前端的后端(服务器)。专门为前端而调用API,或者生成 ..
前端技术演进:从MVC到跨端与BFF
前端技术演进是一个逐步发展的过程,它反映了从早期的网页开发到现代复杂多端应用架构的转变。本文档由滴滴顺风车H5组负责人许国栋撰写,主要探讨了大前端技术的发展历程和关键里程碑。 在1994年,JavaScript的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值