04.分布式系统认证与授权

最新推荐文章于 2023-12-03 14:29:38 发布
最新推荐文章于 2023-12-03 14:29:38 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: SpringSecurity 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43891622/article/details/117693716
版权

分布式系统认证与授权

分布式认证与授权的需求

分布式系统的每个服务都会有认证,授权的需求,如果每个服务都实现一套认证授权逻辑会非常冗余,考虑分布式系统共享性的特点,需要由独立的认证服务处理系统认证授权的请求;考虑分布式系统开放性的的特点,不仅对系统内部服务提供认证,对第三方系统也要提供认证。分布式认证的需求总结如下:
统一认证授权

  1. 提供独立的认证服务,统一处理认证授权。
  2. 无论是不同类型的用户,还是不同种类的客户端(web端,H5、APP),均采用一致的认证、权限、会话机制,实现统一认证授权。
  3. 要实现统一则认证方式必须可扩展,支持各种认证需求,比如:用户名密码认证、短信验证码、二维码、人脸识别等认证方式,并可以非常灵活的切换。
    应用接入认证
    应提供扩展和开放能力,提供安全的系统对接机制,并可开放部分API给接入第三方使用,一方应用(内部 系统服务)和三方应用(第三方应用)均采用统一机制接入。

分布式认证方案

1.基于session的认证方式

在分布式的环境下,基于session的认证会出现一个问题,每个应用服务都需要在session中存储用户身份信息,通过负载均衡将本地的请求分配到另一个应用服务需要将session信息带过去,否则会重新认证。
解决方案有三个:
Session复制:多台应用服务器之间同步session,使session保持一致,对外透明。

Session黏贴:当用户访问集群中某台服务器后,强制指定后续所有请求均落到此机器上。

Session集中存储:将Session存入分布式缓存中,所有服务器应用实例统一从分布式缓存中存取Session。

总体来讲,基于session认证的认证方式,可以更好的在服务端对会话进行控制,且安全性较高。但是,session机制方式基于cookie,在复杂多样的移动客户端上不能有效的使用,并且无法跨域,另外随着系统的扩展需提高session的复制、黏贴及存储的容错性。

2.基于token的认证方式

基于token的认证方式,服务端不用存储认证数据,易维护扩展性强, 客户端可以把token 存在任意地方,并且可以实现web和app统一认证机制。其缺点也很明显,token由于自包含信息,因此一般数据量较大,而且每次请求都需要传递,因此比较占带宽。另外,token的签名验签操作也会给cpu带来额外的处理负担。

3.为什么选择基于token的认证方式

  1. 适合统一认证的机制,客户端、一方应用、三方应用都遵循一致的认证机制。
  2. token认证方式对第三方应用接入更适合,因为它更开放,可使用当前有流行的开放协议Oauth2.0、JWT等。
  3. 一般情况服务端无需存储会话信息,减轻了服务端的压力

分布式系统认证架构图

在这里插入图片描述

OAuth2

OAuth2介绍

OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。

Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应用。

参考:https://baike.baidu.com/item/oAuth/7153134?fr=aladdin

Oauth协议:https://tools.ietf.org/html/rfc6749

OAuth2例子

用户使用美团APP点餐再使用微信付款这用的就是OAuth2,第三方应用就是美团,微信就是存储用户信息的系统。

也就是用户授权美团访问微信上用户的信息。

OAuth2流程图

在这里插入图片描述
在这里插入图片描述

OAuth2中包含的角色

1.客户端(美团APP)

本身不存储资源,需要通过资源拥有者(用户)的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏览器端)、微信客户端等。

2.资源拥有者(用户)

通常为用户,也可以是应用程序,即该资源的拥有者。

3.认证授权服务器(微信端)

用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌(access_token),作为客户端访问资源服务器的凭据。本例为微信的认证服务器。

4.资源服务器(微信端)

存储资源的服务器,本例子为微信存储的用户信息。

注意

服务提供商能允许随便一个客户端就接入到它的授权服务器吗?答案是否定的,服务提供商会给准入的接入方一个身份,用于接入时的凭据:

client_id:客户端标识 client_secret:客户端秘钥

因此,准确来说,授权服务器对两种OAuth2.0中的两个角色进行认证授权,分别是资源拥有者、客户端。

Spring Cloud Security OAuth2

介绍

Spring-Security-OAuth2是对OAuth2的一种实现,并且跟我们之前学习的Spring Security相辅相成,与Spring Cloud体系的集成也非常便利。

角色

1.认证授权服务 (Authorization Server)

应包含对接入端以及登入用户的合法性进行验证并颁发token等功能,对令牌的请求端点由 Spring MVC 控制器进行实现,下面是配置一个认证服务必须要实现的endpoints:

  • AuthorizationEndpoint 服务于认证请求。默认 URL: /oauth/authorize
  • TokenEndpoint 服务于访问令牌的请求。默认 URL: /oauth/token
2.资源服务 (Resource Server)
  • 包含对资源的保护功能,对非法请求进行拦截,对请求中token进行解析鉴权等。
  • OAuth2AuthenticationProcessingFilter用来对请求给出的身份令牌解析鉴权。

OAuth2的四大模式

1.授权码模式
2.简化模式
3.密码模式
4.客户端模式
asadsfasfasdfas
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分布式微服务架构下的认证鉴权
行走的悲寂寥的博客
06-30 1140
分布式微服务架构体系下的认证鉴权的理解
OAuth2.0分布式系统环境搭建.docx
06-26
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0的系统大致分由客户端,认证授权服务器以及资源服务器三部分组成。客户端如果想要访问资源服务器中的资源,就必须要持有认证授权服务器颁发的Token。认证流程如下图所示:
SpringBoot分布式OA办公系统(包含数据库脚本文件).zip
06-01
1、 搭建用户中心、鉴权中心、网关认证的微服务基础模块。 已完成 2、 搭建flowable 工作流引擎基础功能、组织结构管理。 3、 结合工作流进行 考情审批流程、 IT项目申报审批流程、 财务报销审批流程 。 4、 完善RBAC 权限系统,并加入后端多层权限控制。 5、 扩展认证模式, 手机验证码、图形验证码、授权码等 常用登录模式, 支撑多种验证码机制及密码失败后 黑名单处理。 6、 拓展认证, 支持qq 微信 等大多数的三方登录。 7、 增加 微信支付和支付宝支付。 8、 分布式事务支持 9、 多租户模式。
Zabbix分布式系统监视-其他
06-11
Zabbix是一个基于 WEB 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供柔软的通知机制以让系统管理员快速定位/解决存在的各种问题。 zabbix由2部分构成,zabbix server与可选组件zabbix agent。 zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux, Solaris, HP-UX, AIX, Free BSD, Open BSD, OS X等平台之上。 zabbix agent需要安装在被监视的目标服务器上,它主要完成对硬件信息或与操作系统有关的内存,CPU等信息的收集。zabbix agent可以运行在Linux ,Solaris, HP-UX, AIX, Free BSD, Open BSD, OS X, Tru64/OSF1, Windows NT4.0, Windows 2000/2003/XP/Vista)等系统之上。 zabbix server可以单独监视远程服务器的服务状态;同时也可以与zabbix agent配合,可以轮询zabbix agent主动接收监视数据(trapping方式),同时还可被动接收zabbix agent发送的数据(trapping方式)。 另外zabbix server还支持SNMP (v1,v2),可以与SNMP软件(例如:net-snmp)等配合使用。 zabbix的主要特点: 安装与配置简单,学习成本低 支持多语言(包括中文) 免费开源 自动发现服务器与网络设备 分布式监视以及WEB集中管理功能 可以无agent监视 用户安全认证和柔软的授权方式 通过WEB界面设置或查看监视结果 email等通知功能 等等 Zabbix主要功能: CPU负荷 内存使用 磁盘使用 网络状况 端口监视 日志监视
springboot2.0企业中台实战之权限统一管理与应用统一授权 (dubbo分布式系统实战)
06-16
本课程是一门具有很强实践性质的“项目实战”课程,即“企业中台系统实战”,其中主要包含三大块核心内容,如下图所示(右键可以在新标签页中打开图片放大查看): 即主要包含以下三大块内容: ① 企业内部应用系统菜单资源和操作权限的统一管理; ② 分布式应用系统通信时的统一授权,即基于AccessToken的授权认证; ③ 分布式服务/系统通信时的两大方式(基于dubbo rpc协议和基于http协议的restful api实战)。 值得一提的是,这套中台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”,故而本门课程的“代码实战”是建立在之前debug录制的“企业权限管理平台”这套课程的基础之上的,故而在这里debug建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程,之后再来学习我的这套中台系统的实战才不会很吃力(课程链接:) 本课程的课程大纲如下图所示(右键可以在新标签页中打开图片放大查看): 除此之外,这套“中台系统”由于统一管理了企业内部各大应用系统的“菜单资源和操作权限”以及“应用系统之间通信时的统一授权”,故而难
Vue中如何进行分布式鉴权认证
u013749113的博客
06-15 1644
分布式鉴权认证是指将鉴权认证的过程分布在多个服务中进行。在分布式系统中,用户的请求通常需要经过多个服务的处理,因此需要在每个服务中进行鉴权认证,以确保用户的合法性和权限。同时,由于用户的信息可能分布在多个服务中,因此需要进行跨服务的认证授权,以确保用户的数据安全性。在Vue应用中,实现分布式鉴权认证是非常重要的安全性措施。本文介绍了使用JWT、OAuth2和CAS实现分布式鉴权认证的步骤,希望能够帮助读者更好地保护用户的安全性和数据的保密性。
分布式系统认证授权
bjjx123456的博客
11-21 150
以云音乐系统为例
【49.Auth2.0认证授权过程-微博开放平台认证授权过程-百度开放平台认证授权过程-社交登录实现(微博授权)-分布式Session问题与解决方案-SpringSession整合-Redis】
Coder_ljw的博客
12-09 376
【49.Auth2.0认证授权过程-微博开放平台认证授权过程-百度开放平台认证授权过程-社交登录实现(微博授权)-分布式Session问题与解决方案-SpringSession整合-Redis】定义社交登陆VO对象mall-commons模块中定义MemberVo对象通过自定义Cookie实现session域名的调整。 5.4.1 Session共享问题:1. 同一个服务下的集群环境,Session不能同步的问题2. 不同服务之间的Session不能共享的问题1. 多系统相同域名的分布式Session可以
分布式权限认证-Sa-token,So Easy!
qq_45515182的博客
11-26 1841
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
Shiro笔记八:分布式应用下的鉴权方式
公子&小白的博客
05-10 923
Shiro笔记八:分布式应用下的鉴权方式 文章目录Shiro笔记八:分布式应用下的鉴权方式单体应用下的鉴权方式shiro整合SpringBoot下自定义SessionId 单体应用下的鉴权方式 使用tomcat的广播方式,但是会引起广播风暴。也占用大量内存空间。 使用UUID+Redis存储SessionID JWT JWT Oauth2.0:实现第三方登录。 Oauth2.0 shiro整合SpringBoot下自定义SessionId 重写SessionIdGenerator的方法
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
快进来,带你入坑~~~
论文研究-一种分布式系统的用户认证授权机制及其应用.pdf
07-22
针对用户认证授权问题提出了一种...通过借鉴网格环境中的虚拟社区授权服务的体系结构,构造了统一身份认证和资源访问控制的系统框架,并实现了单点登录、细粒度用户访问控制的安全机制,对该方案的安全性进行了评价。
分布式系统服务ZooKeeper的学习历程.zip
04-01
安全系统: 旨在保护计算机系统免受恶意攻击、未经授权访问、数据泄露等安全威胁的措施和工具,包括防火墙、入侵检测系统、防病毒软件、身份认证与访问控制机制、数据加密技术等。 综上所述,计算机领域的“系统”...
Sa-Token 实现分布式登录鉴权(轻量级,超简单)
z_ssyy的博客
08-27 1030
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。功能结构图@Data@Component // 保证此类被SpringBoot扫描,完成Sa-Token的自定义权限验证扩展/*** 返回一个账号所拥有的权限码集合*/@Override// 本list仅做模拟,实际项目中要根据具体业务逻辑来查询权限//从redis中获取权限/**
Spring Security OAuth2.0认证授权四:分布式系统认证授权
皮球
08-31 822
Spring Security OAuth2.0认证授权四:分布式系统认证授权
每个人都要会的后端分布式鉴权方案
r8t7y6的博客
12-03 157
储存的意义在于,后续访问的时候可以直接通过用户token获取对应jwt,这样不用访问auth服务,减少io。2. 如果该请求未携带token【无token该请求必须是登录,其他请求一定带token,可以在gateway中配置判断】,gateway先请求auth鉴权服务,然后auth根据用户名密码,返回用户的role角色和permission权限。5. 后续微服务返回前端的时候,请不要带上jwt,应该放回auth返回的token,auth应该储存token和jwt对应关系,大多数情况应该储存在redis中。
分布式系统下的认证授权
IDEAL Garden
12-28 1014
本文从高层次梳理在不同架构演进中认证授权及凭证这些和架构安全相关的技术的发展过程,尤其是在分布式系统下的如何高效安全的实现认证授权的功能。
Sa-Token实现分布式登录鉴权(Redis集成 前后端分离)
Lifelong learning
02-12 6344
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
野狗优化算法DOA MATLAB源码, 应用案例为函数极值求解以及优化svm进行分类,代码注释详细,可结合自身需求进行应用
最新发布
05-20
野狗优化算法DOA MATLAB源码, 应用案例为函数极值求解以及优化svm进行分类,代码注释详细,可结合自身需求进行应用
分布式系统需要考虑哪些因素或包含哪些组件
06-09
分布式系统需要考虑以下因素或包含以下组件: 1. 通信机制:分布式系统中的不同组件需要进行通信,因此需要选择合适的通信机制,例如消息传递、共享内存等。 2. 数据同步:分布式系统中的不同组件需要共享数据,因此需要考虑如何进行数据同步,例如使用锁、事务等。 3. 负载均衡:分布式系统中的不同组件可能会接收到不同程度的负载,因此需要考虑如何实现负载均衡,例如使用负载均衡器、动态调整负载等。 4. 容错机制:分布式系统中的不同组件可能会发生故障,因此需要考虑如何实现容错机制,例如备份、冗余、容错算法等。 5. 服务发现:分布式系统中的不同组件需要相互协作,因此需要考虑如何进行服务发现,例如使用注册中心、服务发现机制等。 6. 分布式事务:分布式系统中的不同组件可能会涉及到跨越多个节点的事务,因此需要考虑如何实现分布式事务,例如使用两阶段提交、补偿事务等。 7. 安全性:分布式系统中的数据可能会被攻击者窃取或篡改,因此需要考虑如何实现安全性,例如使用加密、认证授权等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值