微服务Token鉴权设计的几种方案

最新推荐文章于 2024-03-23 22:20:19 发布
最新推荐文章于 2024-03-23 22:20:19 发布
阅读量40 收藏
点赞数
文章标签: 微服务 java 运维 架构 云原生
原文链接:https://mp.weixin.qq.com/s?__biz=MzAxNjk4ODE4OQ==&mid=2247538815&idx=2&sn=6099d158632096792ca0e487ee60ad16&chksm=9a98836f6d76f9f69b777eb208f403e22fbe6d9460334ca965add924b43d85474b7524bb4177&scene=126&sessionid=0
版权

  • Token透传(不推荐)

  • Fegin内部调用方式

  • Dubbo内部调用方式

  • Spring Boot Web + Dubbo内部调用方式

  • 常规模式

  • 与K8S集成

Token透传(不推荐)

刚开始接触微服务时网上给的方案大都数是通过透传Token做鉴权,但我认为这种方式不是很妥当。接着往下看:

2aa4764a1343a89c977556a2aae19c5d.jpeg

图片

这种方式通过透传Token使得各微服务都能获取到当前登录人信息,在代码编写上确实可能会方便,但我认为这不是一种很好的设计方式。

原因一:内部API与外部API混合在一起不太好区分。

原因二:内部调用的微服务API因该具备无状态性质,这样才能保证方法的原子性以提高代码复用率。

换句话说:B服务提供API时不因该关心当前是否为登录状态,登录状态应该由路由中的第一个服务校验维护,在调用后续服务时应该显示的传入相关参数。比如以下场景:

场景一:用户签到添加积分

场景二:后台管理员给用户手动添加积分

场景三:分布式调度批量增加用户积分

根据需求积分服务提供了一个给用户添加积分的API,如果你的API是通过获取的当前登录用户ID增加的积分,那么面对场景二时你需要重新编写一个给用户添加积分的API,因为当前登录的是后台管理员而不是用户(代码复用率较低)

不透传数据,显示的提供入参

95e146777821f2dabc28a5a5f4242586.jpeg

图片

路由到达的第一个服务已经对Token进行了解析认证并将userId显示的传递给了后续服务,后续服务不需要再对token进行解析认证。根据1.1的三个场景只需要提供一个入参包含userId的API,保证了函数的原子性提供代码复用率。

注意: 提供的API不能暴露给外网,我们需要在路径上做区分,避免外网非法访问内部API。我们可以订好内部调用API路径规则,如: /api/inside/\*\* 。在网关层拒绝内部调用API请求的访问。

统一授权

统一授权是指:将API鉴权集中在应用网关上

Fegin内部调用方式

Spring Cloud Gateway + Fegin内部调用,集中在Gateway上做统一认证鉴权,鉴权后在请求头中添加鉴权后的信息转发给后续服务,如:userId等。。。

a55e677ce31252cfac9e4c6bc07011e0.jpeg

图片

缺点:A服务调用B服务时,B服务需要写一个内部调用的Controller接口A服务才能通过Fegin调用到B服务,增加了代码量(这里的设计方案是内部调用与外部调用Controller是分开的)

Dubbo内部调用方式

Spring Cloud Gateway + Dubbo内部调用,集中在Gateway上做统一认证鉴权,鉴权后在请求头中添加鉴权后的信息转发给后续服务,如:userId等。。。

优点:与第一种相比不需要额外编写一个Controller接口,只有本地service与远程DubboService的区别,代码更简洁。

缺点:项目技术栈略微增加了复杂度。

4bf75f7ad2a560dadd103a5cef8fab06.jpeg

图片

Spring Boot Web + Dubbo内部调用方式

这里的设计方案直接去掉了Gateway,直接使用了一个Spring Boot Web项目来代替Gateway。但需要注意的是应该将Web项目的容器换成Undertow,因为Tomcat是阻塞式的容器,不换也不是不行,但吞吐量可能会少一下,Undertow是非阻塞式的容器,可以与Gateway到达相同的效果。(非阻塞式:当请求为线程进入阻塞状态时,当前线程会被挂起,当前的计算资源会去做别的事情,当被挂起的线程收到响应时才会被继续执行,压榨CPU用更少的资源做更多的事情,但并不会提升性能)

因为去掉了Gateway我们需要将所有服务的Controller集成到Web应用,然后在这个Web应用上做统一认证授权。如果将所有代码写到Web应用中,这样可能不合适,我们可以选择每个服务创建一个Controller模块,Web网关服务只有一个启动类,通过依赖的方式集成所有服务的Controller。

优点:简化了项目结构,所有服务只有service代码。性能压测时不用考虑Gateway的线程池使用情况,业务服务只需要考虑Dubbo线程池的使用情况。

缺点:没办法通过配置中心动态调整路由。比如说增加了一个服务Gateway可以不重启通过配置中心增加路由配置即可。

655eb53ccd343e313a709ea94e7a9b44.jpeg

图片
非统一授权

非统一授权:不在应用网关上集成鉴权,网关只有单一的路由转发业务。各位服务都有自己的鉴权方式,当然也可以通过jar包的方式统一各服务的鉴权方式。

常规模式

通过编写通用的鉴权模块,各服务集成该模块。该模块具备以下功能:

  1. JWT Token解析

  2. 权限校验拦截

  3. 缓存(本地缓存\Redis缓存)

这种模式更适合大型项目团队,可能各微服务都由一个项目组负责。各服务维护自己的权限规则(这里指的是权限规则数据,规则是统一的)

8658c38926f5d342563b510f7f9f6410.jpeg

图片

该模式下由于应用网关比较轻量级,不再涉及复杂的鉴权流程,使得项目部署可以更灵活,当我们使用K8S部署项目时,我们可以将应用网关替换成K8S中的Ingress网关。

我们先看常规模式部署在K8S中完整的链路:

89603d4ce35eda5e48e540bc85f71255.jpeg

图片

当用户访问时会先到达K8S Ingress网关通过应用网关Service的负载均衡调用应用网关,应用网关需要通过注册中心获取服务注册列表,通过服务注册列表负载均衡到后续服务。

与K8S集成

我们再来看看将应用网关替换成K8S中的Ingress网关的完整链路:

da3d6fe756d2d7a3b83634a8772a42ba.jpeg

图片

这里不仅只是去掉了应用网关,同时我们通过K8S Service 负载均衡的能力去掉了注册中心。减少了我们部署微服务时还要额外搭建一套注册中心。同时减少了一层没必要的转发。至于K8S中的Service,大家可以理解成一个本地的host假域名,比如我们在K8S给商品创建一个Service,名称为:goods-svc。那么我们可以通过goods-svc直连。如:

  1. http://goods-svc:8080/api/goods/info/10001

  2. dubbo://goods-svc:20880

方案没有对错,选择适合自己的就是最好的

公众号:方志朋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
在线资料Sa-Token 介绍Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题框架集成简单、开箱即用、API设计清爽,通过Sa...
restful风格请求,token鉴权实例
01-14
基于restful风格做的设计实例,即可jwt做token效验,实现增删查改,同时搭配自定义注解,方便过滤token验证
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
最新发布
04-14
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录权限认证 —— 权限认证、角色认证、会话二级认证Session会话 —— 全端共享Session、单端独享Session、自定义Session踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线账号封禁 —— 登录封禁、按照业务分类封禁、按照处罚阶梯封禁持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证单点登录 —— 内置三种单点登录模式:无论是否跨域、是否共享Redis,都可以搞定OAuth2.0认证 —— 轻松搭建 OAuth2.0 服务,支持openid模式二级认证
微服务下怎么做权限管理
xby18772963985的博客
09-16 578
(2)鉴权单体应用一般会通过拦截器(Spring Security、Apache Shrio本质上都是拦截器),拦截用户请求,这里同样会根据鉴权方案是JWT还是HTTP会话分别处理,如果是JWT的话,则会通过解密来获得用户信息,如果是采用的会话的方式,则会根据会话ID,从存储中(这里一般是Redis)来获得用户信息,不论是哪种方案,最终都是根据用户信息来对相应的请求进行权限校验。诸如此类的鉴权方式,我个人是不太推荐的,当然采用此类鉴权方式的团队可能也有他们的考虑,更多的可能是出于性能的考虑。
微服务网关鉴权:gateway使用、网关限流使用 用户密码加密 JWT鉴权
m0_71777195的博客
07-15 881
客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求,在一定场景下处理相对复杂认证复杂,每个服务都需要独立认证难以重构,随着项目的迭代,可能需要重新划分微服务。例如,可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信,那么重构将会很难实施某些微服务可能使用了防火墙 / 浏览器不友好的协议,直接访问会有一定的困难以上这些问题可以借助网关解决。网关是介于客户端和服务器端之间的中间层,所有的外部请求都会先经过 网关这一层。
微服务鉴权:gateway使用、网关限流使用、用户密码加密、JWT鉴权
独行侠梦的博客
05-24 1505
目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码的加密与验证了解加密算法能够使用JWT实现微服务鉴权1.微服务网关Gateway1.1 微服务网关概述不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求...
token设计方案,这个厉害!
Java和Android架构
08-05 336
相关阅读:一个90后员工猝死的全过程作者:做个前端 链接:https://www.jianshu.com/p/e07f51c5c8bd 网上关于移动客户端与服务器数据传输之间的 toke...
支持多种登录模式的token方案设计(微信、支付宝登录等)和数据库设计含手机号绑定方法
Dream_it_possible!的博客
03-01 4453
文章目录
微服务token设计方案
qq_38377190的博客
08-04 1431
项目初期(项目为微服务)为了快速开发使用了jwt生成token的无状态开发(未进行存储)并为生成的token指定一个过期时间为第二天的04:30,这样只要拿着今天生成的token就都可以用,这样不仅不利于项目自身安全,并且也无法实现以下功能。需求一:是否支持并发登录需求二:超时无操作过期设置需求三:记录在线人数为解决上述问题,微服务下需要管理有状态的token,并进行数据格式管理,实现上述需求。......
微服务架构整合Sa-Token实现网关鉴权鉴权服务
m0_57334678的博客
11-14 911
微服务架构整合SaToken鉴权
轻量级Java权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Sesson会话、微服务网关鉴权等问题
04-11
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!...Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题
微服务鉴权几种实现方案
qq_45228323的博客
03-23 1065
刚开始接触微服务时网上给的方案大都数是通过透传Token鉴权,但我认为这种方式不是很妥当。接着往下看:这种方式通过透传Token使得各微服务都能获取到当前登录人信息,在代码编写上确实可能会方便,但我认为这不是一种很好的设计方式。换句话说:B服务提供API时不因该关心当前是否为登录状态,登录状态应该由路由中的第一个服务校验维护,在调用后续服务时应该显示的传入相关参数。
微服务中的鉴权该怎么做?
BASK2311的博客
12-08 2210
最近刚好有小伙伴在微信上问到这个问题,松哥就来和大家聊一聊,本文主要和小伙伴们聊一聊思路,不写代码,小伙伴们可以结合松哥之前的文章,应该能够自己写出来本文的代码。当然,思路也只是我自己的一点实践经验,不一定是最完美的方案,欢迎小伙伴们在留言中一起探讨。首先小伙伴们知道,无论我们学习 Shiro 还是 Spring Security,里边的功能无论有哪些,核心都是两个:所以,我们在微服务中处理鉴权问题,也可以从这两个方面来考虑。认证,说白了就是登录。传统的 Web 登录是 Cookie+Session 的方案
Token多平台身份认证架构设计思路
z_ssyy的博客
04-12 481
1、概述在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。随着移动互联网时代到来,客户端的类型越来越多, 逐渐出现了 一个服务器,N个客户端的格局。不同的客户端产生了不同的用户使用场景,这些场景:有不同的环境安全威胁不同的会话生存周期不同的用户权限控制体系不同级别的接口调用方式综上所述,它们的身份认证方式也存在一定的区别。本文将使用一定的篇幅对这些场景进行一些分析和梳理工作。
微服务常见认证、鉴权方案
u014203449的博客
09-26 9102
参考网上一些优秀开源项目和框架,谈谈常见的微服务认证、鉴权方案。内容有SecurityOauth2、单点登录cas、自定义拦截器开发、微服务鉴权、令牌的存储方式、shiro由单体改动为微服务 微服务认证、鉴权的目标: 一次登录后,各微服务都能访问 可对各微服务进行角色、接口等粒度的鉴权 SecurityOauth2 可能是seurity框架提供了一个微服务鉴权的直接解决方式,导致网上资料大部分都是此类方案。 这个方案理解起来并不难。 首先,在登录时,利用oauth2协议的四种方式及自定义.
3个注解,优雅的实现微服务鉴权
BASK2312的博客
01-10 604
经过第①步,鉴权已经下放给下游服务了,那么下游服务如何进行拦截鉴权呢?@Secured关于这三个注解就不再详细介绍了,有兴趣的可以去查阅官方文档。/*** @description 登录认证的注解,标注在controller方法上,一定要是登录才能的访问的接口*/复制代码/*** @description 标注在controller方法上,确保拥有指定权限才能访问该接口*//*** 需要校验的权限码*//*** 验证模式:AND | OR,默认AND*/复制代码/**
1. token鉴权和session鉴权区别
06-11
Token鉴权和Session鉴权是两种常用的身份验证方式。 Token鉴权是一种轻量级的身份验证方式,通常用于Web API的身份验证,其工作方式为:客户端在登录后,服务器返回一个包含用户身份信息的token。客户端在后续请求中将该token附加在请求头或请求体中,服务器接收到请求后,通过对token的解析验证用户身份。该方式的优点是减轻了服务器的负担,可以跨域使用,但缺点是token一旦泄露,攻击者可以使用该token来模拟合法用户进行操作。 Session鉴权是一种传统的身份验证方式,通常用于Web应用程序的身份验证,其工作方式为:用户在登录后,服务器在后端创建一个session并返回一个sessionid给客户端,客户端在后续请求中将该sessionid附加在请求头或请求体中,服务器通过对sessionid的验证判断用户身份。该方式的优点是安全性较高,用户的状态信息可以保存在session中,但缺点是需要在服务器端存储session信息,会增加服务器的负担,并且无法跨域使用。 因此,Token鉴权和Session鉴权各有优缺点,根据实际应用场景和需求选择适当的身份验证方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值