微服务间的鉴权

已于 2024-08-02 13:58:05 修改
阅读量319 收藏 3
点赞数 6
分类专栏: 鉴权 文章标签: 微服务 架构 云原生
于 2024-08-02 10:36:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songtaiwu/article/details/140864475
版权

一、keycloak的实现

keycloak中创建领域realm,在领域中可以创建很多客户端,如果是微服务项目,就是很多微服务和前端项目作为客户端。

keycloak在实现客户端之间访问的令牌时,可以生成与用户无关的token,这种token主要用于服务到服务(Service-to-Service, S2S)的认证和授权。Keycloak支持多种机制来生成和管理这些令牌,其中最常见的是使用OAuth2.0的客户端凭证(Client Credentials)授权流程。

1、流程

以下是keycloak实现客户端之间访问令牌的关键步骤和机制:

1.1 配置客户端

在Keycloak中,每个微服务或客户端应用都需要作为一个客户端(Client). 被注册到Keycloak服务器中。在注册时,需要配置客户端的访问类型(Access Type),对于需要获取无用户交互的令牌的客户端,通常将其设置为confidential(保密的),并启用服务账户(Service Account)。

1.2 使用客户端凭证授权流程

客户端凭证授权流程是OAuth2.0定义的一种授权方式,它允许客户端(即微服务)使用自己的凭证(如客户端ID和客户端密钥)来获取访问令牌,而无需用户参与。以下是该流程的一般步骤:

1. 请求令牌:客户端向Keycloak的令牌端点(/auth/realms/{realm}/protocal/openid-connect/token)发送POST请求,请求中包含客户端ID(client_id)、客户端密钥(client_secret)以及授权类型(grant_type, 对于客户端凭证授权流程,该值为client_credentials).

2. 接收令牌:如果请求成功,Keycloak将返回一个JSON响应,其中包含访问令牌(access_token)、令牌类型(token_type, 通常为Bearer)、令牌的有效期(expires_in)等信息。这个访问令牌就是客户端之间的访问的令牌,它与用户无关。

3. 使用令牌:客户端在后续对其他微服务的HTTP请求中,需要在请求头中包含这个访问令牌(通过Authorization)头部,格式为Bearer {access_token})。被调用的微服务将验证令牌的有效性,以决定是否允许访问。

1.3 令牌验证

被调用的微服务可以使用Keycloak提供的公钥来验证访问令牌的签名,以确保令牌是由Keycloak签发的,并且未被篡改。此外,微服务还可以检查令牌的过期时间和其他声明(claims), 以进一步控制对资源的访问。

总之,Keycloak通过OAuth2.0的客户端凭证授权流程来实现客户端之间访问的与用户无关的令牌。这种机制为微服务架构中的服务到服务认证和授权提供了一种安全、灵活的方式。

2、Serivce Accounts Enabled配置项说明

Keycloak中的"Service Accounts Enabled" 选项是用于启用或禁用服务账户(Service Accounts)的功能。服务账户是OAuth2.0 推荐的系统服务使用的账户,它们允许微服务或后台服务以自己的身份进行认证和授权,而无需用户直接参与。以下是关于“Service Accounts Enabled”的详细解释:

功能作用:

1.启用服务账户:当"Service Accounts Enabled"被设置为ON时,Keycloak将为该客户端(client)生成一个服务账户。这个服务账户将包括一个客户端ID和一个客户端密钥(Client Secret)。它们可以用于后续的OAuth2.0流程中,以获取访问令牌(Access Token)等认证信息。

2. 支持服务到服务的认证:启用服务账户后,微服务或后台服务可以使用这些凭据(客户端ID和客户端密钥)通过Keycloak的API进行相互认证和授权。这支持了服务到服务(Service-to-Service,S2S)的通信模式,使得微服务架构中的服务能够安全地交换数据和调用彼此的功能。

3.提高安全性:通过为服务分配独立的身份和凭据,Keycloak帮助提高了系统的安全性。服务账户的使用可以减少对共享密钥或用户凭证的依赖,从而降低凭据泄露的风险。

使用场景:

1.微服务架构:在微服务架构中,服务账户允许各个微服务以独立的身份进行相互认证和授权,从而确保服务之间的通信是安全且受信任的。

2.后台服务:对于需要定期执行后台任务(如数据同步、报告生成等)的服务,服务账户提供了一种无用户交互的认证方式。

3.自动化脚本:在需要自动化执行某些操作的场景中(如CI/CD流程中的自动化测试),服务账户可以确保这些操作以可靠且安全的方式进行。

注意事项:

1.密钥管理:客户端ID和客户端密钥是敏感信息,需要妥善保管,避免泄露给未经授权的第三方。

2.安全性更新:定期更新服务账户的凭据和Keycloak服务器的安全设置,以抵御潜在的安全风险。

3.权限控制:仔细配置服务账户的权限,确保它们只能访问必要的资源和执行必要的操作。

总之,“Service Accounts Enabled”是Keycloak中一个重要的功能选项,它允许开发者为微服务或后台服务启用服务账户功能,从而支持服务到服务的认证和授权。这一功能在微服务架构和自动化流程中尤为重要,有助于提高系统的安全性和灵活性。

3、实际操作

客户端向keycloak发送POST请求获取token

请求方式:

  • HTTP方法: POST
  • URL: /auth/realms/{realm}/protocol/openid-connect/token(其中{realm}是Keycloak中的领域名称)

请求体:

请求体通常包含以下参数,这些参数需要以 application/x-www-fom-urlencoded格式发送:

  • client_id: 客户端的ID,即希望获取token的服务的标识符。
  • client_secret: 客户端的密钥,用于验证客户端的身份。对于某些类型的客户端(如confidential客户端),这是必须的。
  • grant_type: 授权类型,对于服务间token的获取,通常使用client_credentials
  • scope(可选): 请求的权限范围,用空格分隔。这取决于资源服务器定义了哪些作用域,以及客户端希望请求哪些作用域。

我本地用apipost工具发起请求,生成curl示例如下

curl --location --request POST --X POST 'http://192.168.71.133:8080/auth/realms/demo/protocol/openid-connect/token' \
--header 'User-Agent: Apipost client Runtime/+https://www.apipost.cn/' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials' \
--data 'client_id=mark' \
--data 'client_secret=3deabc87-6217-48dd-ad27-2c21d5450c01'

得到结果

{
	"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJNaDNCVU5nQzJIU0h1MlZLQ2NpZlktZG42Q2ZuNmxRaVcwbGdvQWJFZEl3In0.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.agybH7eyamRnvoF75w-jTS-0ZwKW6FzZZkM9Nnv0bnjOmLQIwkerhEPV8u-e949K0cAsHx0iNjpUM1iPEl3lj-TQpZa1LOMTh9BQBR5fwIkb8TTivl8wbJXTv-IYSovCLq5g5jdRGldIVRkibUvOq6HniuE18dVSOcTKW8z2ccvFR4go3Yp9mSht51nzFMdfZ6o35da8LdTu8jH-kjZcNAzu_jUZGMopG4Hccd2iXBZEeDdNeyOIvg0hBchdrgd0Tho8FAh-lt_uYVsz-tCzRFYDYNzOBj5ALNtm6b7gHzOQ9KL1wuZd23qgCjOKytlawktl-ssmVC_L8Q3hWBrr5A",
	"expires_in": 300,
	"refresh_expires_in": 1800,
	"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJiMThhNjY5Mi1hZWFjLTRjY2MtYmEwNS01ZTg1ZDNkZTA0NTAifQ.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.5jJy0KxJnCov52HJ226WHkKave5JqIfbdQG82sFTvos",
	"token_type": "bearer",
	"not-before-policy": 0,
	"session_state": "7156ced4-2e12-442f-9084-9c8e9a4fd143",
	"scope": "profile email"
}

access_token是一个jwt的格式,解析出明文内容如下:

eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJNaDNCVU5nQzJIU0h1MlZLQ2NpZlktZG42Q2ZuNmxRaVcwbGdvQWJFZEl3In0

{"jti":"5ab333e4-66d6-4c86-868c-27b188b6c37f","exp":1722577560,"nbf":0,"iat":1722577260,"iss":"http://192.168.71.133:8080/auth/realms/demo","aud":"account","sub":"51b60ed8-0fdc-40a8-8dac-20bf6c9c4aef","typ":"Bearer","azp":"mark","auth_time":0,"session_state":"7156ced4-2e12-442f-9084-9c8e9a4fd143","acr":"1","realm_access":{"roles":["offline_access","uma_authorization"]},"resource_access":{"account":{"roles":["manage-account","manage-account-links","view-profile"]}},"scope":"profile email","email_verified":false,"clientId":"mark","clientHost":"192.168.71.1","preferred_username":"service-account-mark","clientAddress":"192.168.71.1"}

上面jwt的token解析开来,可以看到preferred_username字段值是service-account-mark, 这就是把mark客户端作为了一个服务账户,和其他服务通信时,能识别身份。

songtaiwu
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务-鉴权
02-25
微服务鉴权介绍(初级入门)。涵盖微服务鉴权介绍及常用方式组合
55丨算法实战(四):剖析微服务接口鉴权限流背后的数据结构和算法1
08-03
微服务架构中,服务治理是一项关键任务,其中包括了接口鉴权和限流等功能,以确保系统的稳定性和安全性。本文将深入探讨这两个方面所涉及的数据结构和算法。 首先,我们来看鉴权鉴权主要是控制不同应用对微服务...
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录权限认证 —— 权限认证、角色认证、会话二级认证Session会话...
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅 登录认证、权限认证、分布式Session会话、微服务网关鉴权等等
09-08
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、SSO 单点登录、OAuth2.0 统一认证
轻量级Java权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Sesson会话、微服务网关鉴权等问题
04-11
—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0 Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关...
golang学习笔记17——golang使用go-kit框架搭建微服务详解
GoppViper的博客
09-11 1976
微服务架构是一种将单一应用程序拆分为一组小型服务的架构风格。每个服务都运行在自己的进程中,通过轻量级的通信机制进行交互。微服务架构具有高可扩展性、高可用性、易于开发和维护等优点。在 Go-Kit 中,服务接口是通过一组方法来定义的。每个方法代表一个服务操作。例如,我们可以定义一个简单的加法服务接口:本文介绍了如何使用 Go 语言搭建微服务。我们首先介绍了微服务架构的概述和优势,然后介绍了 Go 语言在微服务中的优势。
微服务基础知识
2301_79694645的博客
09-11 715
SOA 全称为 Service-Oriented Architecture,即⾯向服务的架构。它可以根据需求通过⽹络对松散耦合的粗粒度应⽤组件(服务)进⾏分布式部署、组合和使⽤。⼀个服务通常以独⽴的形式存在于操作系统进程中。站在功能的⻆度,把业务逻辑抽象成可复⽤、可组装的服务,通过服务的编排实现业务的快速再⽣,⽬的:把原先固有的业务功能转变为通⽤的业务服务,实现业务逻辑的快速复⽤。通过上⾯的描述可以发现 SOA 有如下⼏个特点:分布式、可重⽤、扩展灵活、松耦合。
微服务拆分原则
今天又是充满希望的一天
09-07 564
微服务拆分原则
Nestjs微服务简单案例
weixin_63443072的博客
09-09 501
相信大家,来看这篇博客,就应该知道微服务的概念。只是不太知道实用方法而已。下面我通过最简单的案例,来教会大家。app 是web服务,用来接收前端请求的网络请求project-microserices 是一个微服务,名字都是随意的。
微服务重构:Mysql+DTS+Kafka+ElasticSearch解决跨表检索难题
Diligence is the mother of success.
09-10 1018
1、背景在微服务拆分过程里,会对数据库模块重新进行建模拆分,导致部分表和数据,出现物理隔离,导致跨库JOIN的SQL不可行,并在数据检索上也有性能损耗的风险。下面我们来一起探讨一下,具体的解决方案。1.1 方案比较业界一般解决方案包括不限于下面几个方案实现手段优点缺点应用程序层面改造通过子查询、UNION ALL或进行JOIN操作来实现类似的效果灵活性高、易于实现:可以根据具体需求定制查询逻辑性能...
k8s集群部署:建立第一个微服务-注册中心Eureka
qq_34322136的博客
09-10 509
2、为了后续更方便镜像包的构建,以及应用部署,在pom文件中添加jenkins、harbor等相关配置。同时为了更方便的部署eureka高可用,在pom文件中引入nacos做为配置中心。1、建立eureka server微服务,打开启动类,添加@EnableEurekaServer。3、建立Dokerfile文件,后续方便使用jenkins打包,直接与src目录同级别。nacos配置中心的配置:三个实例。这是父工程的pom文件。
Spring Cloud之二 微服务注册
qq_36577291的博客
09-07 568
【代码】spring cloud 微服务注册。
KPaaS 业务集成扩展平台:微服务下的流程引擎
KPaaS集成扩展
09-11 744
微服务架构下的流程引擎是一种在微服务架构环境中,用于定义、执行和管理业务流程的软件组件。它能够协调多个微服务的交互,确保业务流程的高效、准确执行。
解锁Android开发利器:MVVM架构_android的mvvm
最新发布
2401_86637402的博客
09-11 133
【代码】解锁Android开发利器:MVVM架构_android的mvvm。
AMD 宣布统一 GPU 架构为 UDNA
bugsycrack的博客
09-11 93
英文地址:https://www.tomshardware.com/pc-components/cpus/amd-announces-unified-udna-gpu-architecture-bringing-rdna-and-cdna-together-to-take-on-nvidias-cuda-ecosystem。AMD 是在 2019 年的 GCN 之后将 GPU 架构分成面向消费者的 RDNA 和面向数据中心的 CDNA,它的 Instinct 数据中心 GPU 就是基于 CDNA 架构
jenkins流水线+k8s部署springcloud微服务架构项目
m0_52620144的博客
09-11 1166
jenkins流水线+k8s部署springcloud项目的具体操作讲解
20240911软考架构-------软考156-160答案解析
weixin_42678822的博客
09-11 142
企业信息集成是指企业在不同应用系统之实现数据共享,即实现数据在不同数据格式和存储方式之的转换、来源不同、形态不一、内容不等的信息资源进行系统分析、辨清正误、消除冗余、合并同类,进而产生具有统一数据形式的有价值信息的过程。实行企业信息资源集成的前提是对企业历史上形成的企业信息功能的集成,其核心是对企业内部和外部信息流的集成,其实施的基础是各种信息手段的集成。在企业内部的信息集成中, (1) 实现了不同系统之的互操作,使得不同系统之能够实现数据和方法的共享;(2)定义了数据的存储形式。
【React源码解析】深入理解react时切片和fiber架构
liangzhenmeng的博客
09-11 1285
深入理解React 时切片、Fiber架构
CISC 和 RISC 架构的对比
qq_46264636的博客
09-11 487
研究 RISC 架构优缺点的最简单方法是将其与其前身进行对比: CISC(复杂指令集计算机)架构
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值