高可用实践之统一鉴权(三)

最新推荐文章于 2023-12-21 20:17:21 发布
最新推荐文章于 2023-12-21 20:17:21 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwe6112071/article/details/88212843
版权

统一鉴权往往包括两部分:

  1. 身份认证,确认访问方身份,是鉴权的第一步拦截点
  2. 访问控制,对通过身份认证的访问方进行鉴权,限制访问方可访问和操作的资源。

身份认证

常见的身份认证方法包括:

黑白名单过滤

例如可以根据请求ip、或请求来源等方式对调用方进行限制,避免非法来源的调用方请求。

这一步操作主要放在服务方实现,根据用户传入的具体属性来做拦截,示例如下:

public static void authenticateRequestIp(String remoteAddress) {
   
    if (!canAccess(remoteAddress)) {
   
        // 不通过,抛异常
        throw new SecurityException("Request ip:" + remoteAddress + " is not allowed");
    }
}

private static boolean canAccess(String ip) {
   
    // 是否开启ip过滤
    if (isAccessIpEnable) {
   
        // 先放过白名单
        for (String addr : ipWhiteSet) {
   
            if (ip.startsWith(addr)) {
   
                return true;
            }
        }
        // 黑名单拒绝
        for (String addr : ipBlackSet) {
   
            if (ip.startsWith(addr)) {
   
                return false;
            }
        }
        // 返回不在黑白名单的ip默认是否允许。
        return isAccessDefault;
    }
    return true;
}

上面的示例为请求方ip,实际还可能请求方应用名、集群名等能标识请求方的属性。

token校验

如基于token验证,对合法来源下发token相关数据,调用方可以基于token访问服务器资源。这里来参考一个调用方和服务方协同结合token校验身份的实现流程。

大致实现的流程如下:

  1. 服务端为特定客户端生成一个密钥,并下发给客户端。
  2. 客户端请求前,根据客户端secret、时间戳和版本号,通过非堆成加密出token,并在请求时附上token,时间戳和版本号。
  3. 服务方在鉴权时候,根据服务端secret、时间戳和版本号加密成token,和客户端上传的token进行对比完成鉴权。客户端和服务端加密算法一致,因此secret在两边也是一致的。

下面来具体看看两方实现。

客户端校验逻辑

具体的加密算法示例如下:

public static String encrypt(String data, String key) throws Sec
最低0.47元/天 解锁文章
jeanheo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
集成网关后怎么做权限隔离——统一鉴权
09-22 1356
商场停车场景中,除了极少数功能不需要用户登陆外(如可用车位数),其余都是需要用户在会话状态下才能正常使用的功能。上个章节中提到,要在网关层实现统一的认证操作,本篇就直接带你在网关层增加一个公共鉴权功能,来实现简单的认证,采用轻量级解决方案 JWT 的方式来完成。 为什么选 JWT JSON Web Token(缩写 JWT)是比较流行的轻量级跨域认证解决方案,Tomcat 的 Session 方...
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3260
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
统一权限-鉴权
JAVAMysql111的博客
04-15 2661
鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无发访问的,如图所示: 基于资源的权限控制 RBAC基于资源的访问控制是以资源为中心进行访问控制,企业中常用的权限管理方法,实现思路是:将系统操作的每个URL配置在资源表中,将资源对应到角色,将角色分配给用户,用户访问系统功能的Filter进行过滤,过滤器获取到用户访问的URL,只要访问的URL是用户分配的角色中的URL是用户分配角色中的URL则放行继续访问,其具体流程如下: 鉴权流程 Reac
.NET 统一用户管理 -- 统一鉴权
arra54202的博客
03-07 278
统一鉴权 目的 为什么要统一鉴权了,每一个业务系统几乎都离不开,用户,角色,权限 这个 3个基础功能,为了避免各个系统各自去开发一套权限管理等基础功能,也同时轻松管理每个用户的全部权限。 怎么做 1. 在同一鉴权模块新建业务系统(获得系统ID) 2. 初始化业务系统的角色,菜单,以及权限等相关基础数据 3. ...
Spring Gateway + Oauth2 + Jwt网关统一鉴权
oPeiJie1的博客
04-19 2585
*** @Description 自定义鉴权过滤器工厂:设置访问白名单;重新封装鉴权认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
罗辑思维首席架构师:Go微服务改造实践
01-27
实践分享了罗辑思维的首席架构师如何带领团队进行从PHP单体应用向Go微服务转型的历程,以提高系统性能、实现服务化和高可用性。 ### 一、改造背景 罗辑思维的早期APP是一个基于PHP的单体应用,随着时间推移,...
服务化框架技术选型实践.pdf
10-17
Eureka在Netflix生态系统中用于服务发现,具备良好的高可用性。 服务化框架的完善构建还包括配置中心、接口文档管理、监控中心、分布式跟踪、服务治理和网关。网关承担着鉴权、限流、协议转换、Mock等功能,服务...
全链路容器运维平台实践.pptx
10-11
综上所述,全链路容器运维平台实践涉及了从基础架构设计、高可用性构建、性能优化、安全防护到网络管理和发布策略等多个方面的内容,为大规模容器化环境提供了全面的解决方案。通过这样的平台,企业能够更有效地管理...
多框架微服务治理落地实践.pdf
10-11
通过引入服务注册中心,可以实现服务的统一管理,包括服务的注册、查询、负载均衡和流控,同时通过Agent实现APM监控和告警,确保服务的稳定性和高可用性。 总的来说,多框架微服务治理的落地实践是一个综合性的工程...
电信设备-实现用户信息同步及对用户终端鉴权的方法.zip
09-18
例如,加密技术用于保护传输中的敏感信息,分布式系统设计提高服务可用性,而故障切换和冗余备份策略确保了系统的高可靠性。 总之,这份资料详细阐述了电信设备如何实现用户信息的高效同步和对用户终端的严格鉴权,...
统一认证+多租户体系+鉴权
08-27
统一认证+多租户体系+鉴权
「springcloud 2021 系列」Spring Cloud Gateway + OAuth2 + JWT 实现统一认证与鉴权
郎涯技术
02-15 1万+
通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。 将采用 Nacos 作为注册中心,Gateway 作为网关,使用 nimbus-jose-jwt JWT 库操作 JWT 令牌 理论介绍 Spring Security 是强大的且容易定制的,基于 Spring 开发的实现认证登录与资源授权的应用安全框架 SpringSecurity 的核心功能: Authentication:身份认证,用户登陆的验证(解决你是谁的问题) Authorization:访问授权,授权系统资源的访问权限(解
OAuth2.0 - 使用 SpringGateWay 网关实现统一鉴权
小毕超博客
01-18 1万+
一、OAuth2.0 上篇文章我们学习了将用户信息存储至数据库中,前面的学习大家肯定已经对Oauth2.0已经有了自己认识,从前面我们可以了解到了,在用户认证时可以得到自己的用户信息及权限信息,然后权限的校验还是在资源服务实现的,从前面讲解SpringSecurity单体环境的时候我们要做统一的动态鉴权操作,需要实现FilterInvocationSecurityMetadataSource 接口,在其中进行地址的动态角色权限的返回。现在服务的大环境下,每个业务服务都可以称为一个资源服务,那众多的资源服务,
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
热门推荐
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
Sa-Token实现网关统一鉴权和内部服务外网隔离
ManGooo0的博客
09-05 1670
无论使用哪种序列化方式,你都必须为项目提供一个 Redis 实例化方案,因为我们需要和各个服务通过Redis来同步数据。优点:兼容性好,缺点:Session 序列化后基本不可读,对开发者来讲等同于乱码。优点:Session 序列化后可读性强,可灵活手动修改,缺点:兼容性稍差。注意:切不可直接在一个项目里同时引入这两个依赖,否则会造成项目无法启动。有时候我们需要在一个服务调用另一个服务的接口,这也是需要添加。根据不同的整合规则,插件提供了种不同的模式,你需要。参数,这个参数会被转发到子服务。
【实现微服务集成satoken在网关gateway处统一鉴权
weixin_45472167的博客
05-22 3121
使用sa-token实现gateway统一鉴权
平台统一鉴权、登录、跨域方案
最新发布
菜鸡博客
12-21 214
前后端鉴权、登录、跨域方式
5.微服务项目实战---Gateway--服务网关,实现统一认证、鉴权、监控、路由转发等
王不困的博客
04-25 2751
如果没有网关的存在,我们只能在客户端记录每个微服务的地址,然后分别去调用。自己编写过滤器来实现的,那么我们一起通过代码的形式自定义一个过滤器,去完成统一的权限校验。内置的过滤器已经可以完成大部分的功能,但是对于企业开发的一些业务功能处理,还是需要我们。网关是所有请求的公共入口,所以可以在网关进行限流,而且限流的方式也很多,我们本次采用前。中最基本的组件之一,表示一个具体的路由信息载体。,断言的作用是进行条件判断,只有断言都返回真,才会真正的执行路由。链的方式提供了网关基本的功能,例如:安全,监控和限流。
微服务实现网关统一鉴权-接口级别
weixin_43655425的博客
09-17 3195
微服务实现网关统一鉴权-接口级别
饿了么API框架实践:构建稳定高可用的API体系
4. API运维:包括监控管理和部署扩容,保证API的高可用和性能。 此外,他还规划了APIEverything产品线,主要包括: 1. APIPortal:集成了API文档、Mock服务、权限控制、限流和API剪裁等功能。 2. StargateCluster:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值