springsecurity+oauth2.0 分布式系统以及认证方案1

已于 2023-08-05 08:57:28 修改
阅读量690 收藏 2
点赞数
分类专栏: spring security oauth 分布式认证授权 文章标签: 分布式
于 2021-08-17 23:24:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011066470/article/details/119768509
版权

一 分布式系统

1.1 分布式系统概念

软件的架构由单体结构演变为分布式架构,具有分布式架构的系统叫分布式系统。
分 布式系统的运行 通常依赖网络,它将单体结构的系统分为若干服务,服务之间通过网络交互来完成用户的业务处 理 ,当 前流行的微服务架构就是分布式系统架构:

1.2 分布式系统的特点

分布式系统具体如下基本特点:
1 分布性 每个部分都可以独立部署,服务之间交互通过网络进行通信 ,比如:订单服务、商品服务。
2 伸缩性 :每 个部分都可以集群方式部署,并可针对部分结点进行硬件及软件扩容 ,具有一定的伸缩能力。
3 、共享性:每个部分都可以作为共享资源对外提供服务,多个部分可能有操作共享资源的情况。
4 、开放性:每个部分根据需求都可以对外发 布共享资源的访问接口 ,并可允许第三方系统访问。

1.3 分布式认证要求

1.统一认证授权
2.应用接入认证

二 认证方案

2.1 基于session认证

在分布式的环境下,基于 session 的认证会出现一个问题,每个应用服务都需要在 session 中存储用户身份信息,通 过负载均衡将本地的请求分配到另一个应用服务需要将session 信息带过去,否则会重新认证。

这个时候,通常的做法有下面几种:

1.将通过ningx制定ip哈希轮询策略,将一台机器制定一直访问某台机器,session信息在这台机器进行存储。

2.在其中一台机器产生session信息后,通过复制操作,复制到其他节点上去。(如果节点过多,此方案不靠谱,有些节点还没有轮到复制,就被点到进行访问,结果上面没有session信息)

3. 将session信息集中到一台机器上进行存储,常用的有redis服务器。

总体来讲,基于 session 认证的认证方式,可以更好的在服务端对会话进行控制,且安全性较高。但是, session 机 制方式基于cookie ,在复杂多样的移动客户端上不能有效的使用,并且无法跨域,另外随着系统的扩展需提高 session的复制、黏贴及存储的容错性。

2.2 基于token认证

于token的认证方式,服务端不用存储认证数据,易维护扩展性强, 客户端可以把token 存在任意地方,并且可以实现web和app统一认证机制 。其缺点也很明显, token由于自包含信息 ,因此一般数据量较大,而且每次请求都需要传递,因此比较占带宽。另外, token的签名验签操作也会给cpu带来额外的处理负担

2.3 基于session认证与token认证

基于 session的认证方式 Servlet 规范定制, 服务端要存储session信息需要占用内存资源,客户端需要支持 cookie
基于 token的方式 则一般 不需要服务端存储token,并且不限制客户端的存储方式 。如今移动互联网时代更多类型的客户端需要接入系统,系统多是 采用前后端分离的架构进行实现,所以基token的方式更适合。

2.4 技术方案认证

2.4.1 分布式认证流程图

采用基于 token 的认证方式,它的优点是:
1 、适合统一认证的机制,客户端、一方应用、三方应用都遵循一致的认证机制。
2 token认证方式对第三方应用接入更适合,因为它更开放 ,可使用当前有流行的开放协议 Oauth2.0 JWT 等。
3 一般情况服务端无需存储会话信息,减轻了服务端的压力

流程描述:
1 )用户通过接入方(应用)登录,接入方采取 OAuth2.0 方式在统一认证服务 (UAA) 中认证。
2 认证服务(UAA)调用验证该用户的身份是否合法,并获取用户权限信息。
3 认证服务(UAA)获取接入方权限信息,并验证接入方是否合法
4 )若登录用户以及接入方都合法, 认证服务生成jwt令牌返回给接入方 ,其中 jwt 中包含了用户权限及接入方权限。
5 )后续, 接入方携带jwt令牌对API网关内的微服务资 源进行访问。
6 API 网关对令牌解析、并验证接入方的权限是否能够访问本次请求的微服务。
7 )如果接入方的权限没问题, API 网关将原请求 header 中附加解析后的明文 Token ,并将请求转发至微服务。
8 微服务收到请求,明文token中包含登录用户的身份和权限信息 。因此后续微服务自己可以干两件事:
1 用 户授权拦截(看当前用户是否有权访问该资源)
2 将用户信息存储进当前线程上下文(有利于后续业务逻辑随时 获取当前用户信息)
1 )统一认证服务 (UAA)
它承载了 OAuth2.0 接入方认证、 登入用户的认证、授权以及生成令牌的职责 ,完成实际的用户认证、授权功能。
2 API 网关
作为系统的唯一入口 API 网关为接入方提供定制的 API 集合,它可能还具有其它职责,如 身份验证、监控、负载均 衡、缓存等 。API 网关方式的核心要点是, 所有的接入方和消费端都通过统一的网关接入微服务 ,在网关层处理所 有的非业务功能。
健康平安的活着
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
SpringSecurity+OAuth2+JWT分布式权限控制
Spring Security之认证(1),2024年最新网络安全面试题集锦
最新发布
m0_62261166的博客
04-15 497
在实际项目中,认证逻辑是需要自定义控制的。将 UserDetailsService 接口的实现类放入Spring容器即可自定义认证逻辑。UserDetailsService 的实现类必须重写 loadUserByUsername 方法,该方法定义了具体的认证逻辑,参数 username 是前端传来的用户名,我们需要根据传来的用户名查询到该用户(一般是从数据库查询),并将查询到的用户封装成一个UserDetails对象,该对象是Spring Security提供的用户对象,包含用户名、密码、权限。
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
01-23
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
SpringSecurity Oauth2.0原理篇(一)
qq_38226564的博客
02-15 1564
Spring Security、SpringBoot、 token、认证
分布式身份认证——未来信任生态的基石
weixin_43198739的博客
09-03 4717
一年前,微软在其官方博客中宣布,将在旗下微软身份验证(Microsoft Authenticator)应用程序内整合基于区块链的去中心化 ID 验证技术,标志着微软正式开始进入DID(分布式身份验证)这一赛道。 在实现去中心化生态的道路上,分布式身份认证是一道必解之题,而建立一套能够个人自主控制、可移植的分布式身份认证体系,是未来DPKI(分布式公钥基础设施)认证体系的重要建设目标。近期,...
OAuth 2.0的认证原理
keehom的博客
06-17 868
使用 OAuth 2.0 认证的的好处是显然易见的。你只需要用同一个账号密码,就能在各个网站进行访问,而免去了在每个网站都进行注册的繁琐过程。本文将介绍 OAuth 2.0 的原理,并基于 Spring Security 和 GitHub 账号,来演示 OAuth 2.0 的认证的过程。什么是 OAuth 2.0OAuth 2.0 的规范可以参考 :RFC 6749OAuth 是一个开放标准,...
Spring Security OAuth2.0认证授权(一)
weixin_56697114的博客
04-04 1672
1、基本概念 1、认证 用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 2、会话 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token
【安全】探索统一身份认证OAuth 2.0的介绍、原理和实现方法
橘足轻重的博客
06-28 1970
OAuth 2.0作为一种流行的统一身份认证协议,为用户在多个应用程序之间共享身份验证和授权信息提供了安全可靠的解决方案。本文介绍了OAuth 2.0的概念、原理和实现方法,希望读者能够更好地理解和应用该技术,以提升用户体验并促进应用之间的集成和互操作性。
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
分布式系统架构设计原理与实战:安全与身份验证
禅与计算机程序设计艺术
10-31 158
作者:禅与计算机程序设计艺术 1.背景介绍 随着互联网和移动互联网的普及,各种应用系统的涌入,使得分布式系统的架构越来越重要。这些分布式系统在很多方面都变得复杂起来,特别是需要安全、隐私、数据完整性和认证等保证功能。理解并掌握安全、认证等核心组件的原理,能够帮助我们更好地把握和运用这些技术来开发出安
Spring Security OAuth2分布式系统认证解决方案
赵广陆
02-07 3545
目录1 什么是分布式系统2 分布式认证需求3 分布式认证方案3.1 选型分析3.2 技术方案4 OAuth2.04.1 OAuth2.0介绍4.2 Spring Cloud Security OAuth24.2.1 环境介绍4.2.2 环境搭建4.2.2.1 父工程4.2.2.2 创建UAA授权服务工程4.2.2.3 创建Order资源服务工程4.2.2.授权服务器配置4.2.2.1 EnableAuthorizationServer4.2.2.1.配置客户端详细信息4.2.2.2.管理令牌4.2.2.3.
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
Spring Security Oauth2.0 使用和原理分析
keanu20191101的博客
08-31 702
Spring Security Oauth2.0 Authenticate-认证 sso使用 Authorize-授权 token的获取
springsecurity oauth2.0 认证与授权会话管理7
健康平安的活着的专栏
08-14 890
一 会话 1.1 做会话原因 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。 1.2 实现会话的原理 1.spring security提供会话管 理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取 用户身份。 2.Spring Security获取当前登录用户信息的方法为: SecurityContextHolder.getContext().getAuthenticatio
springsecurity oauth2.0 认证与授权基础知识1
健康平安的活着的专栏
07-28 469
认证 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 简而言之:认证就是判断用户的身份的合法性,一般特指用户登录时身份的判断。 二 授权 授权: 授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
SpringBootSecurity学习(19)前后端分离版之OAuth2.0 token的存储和管理
Blues的专栏
10-11 3403
内存中存储token 我们来继续授权服务代码的下一个优化。现在授权服务中,token的存储是存储在内存中的,我们使用的是 InMemoryTokenStore : 图中的tokenStore方法支持很多种令牌的存储方式,来看一下: InMemoryTokenStore:这个版本的实现是被默认采用的,它可以完美的工作在单服务器上(即访问并发量压力不大的情况下,并且它在失败的时候不会进行备份),大...
springboot整合springsecurity+oauth2.0实现token认证
07-08
好的,你想了解如何在Spring Boot中整合Spring Security和OAuth 2.0来实现token认证。下面是一个基本的步骤: 1. 添加依赖:在你的`pom.xml`文件中添加Spring Security和OAuth 2.0的依赖。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并覆盖`configure`方法,配置Spring Security。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth2/**", "/login/**", "/logout/**") .permitAll() .anyRequest() .authenticated() .and() .oauth2Login() .loginPage("/login") .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/") .deleteCookies("JSESSIONID"); } } ``` 这个配置类指定了哪些URL需要进行认证,`antMatchers`方法指定了不需要认证的URL。 3. 配置OAuth 2.0客户端:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并使用`@EnableOAuth2Client`注解开启OAuth 2.0客户端。 ```java @Configuration @EnableOAuth2Client public class OAuth2ClientConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 配置HTTP Security } @Bean public OAuth2AuthorizedClientService authorizedClientService( OAuth2ClientRegistrationRepository clientRegistrationRepository) { return new InMemoryOAuth2AuthorizedClientService(clientRegistrationRepository); } } ``` 这个配置类可以用来配置OAuth 2.0的客户端,你可以在`configure`方法中添加一些额外的配置。 4. 配置OAuth 2.0客户端注册:在`application.properties`文件中配置OAuth 2.0的客户端注册信息。 ```properties spring.security.oauth2.client.registration.my-client-id.client-id=your-client-id spring.security.oauth2.client.registration.my-client-id.client-secret=your-client-secret spring.security.oauth2.client.registration.my-client-id.scope=your-scopes spring.security.oauth2.client.registration.my-client-id.authorization-grant-type=authorization_code spring.security.oauth2.client.registration.my-client-id.redirect-uri=your-redirect-uri ``` 这个配置文件中的`my-client-id`是你自己指定的客户端ID,你需要将其替换为你自己的信息。 这些步骤是实现Spring Boot中整合Spring Security和OAuth 2.0实现token认证的基本步骤。你可以根据自己的需求进行进一步的配置和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值