企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

時(shí)間：2021-02-09 00:38:55

關(guān)鍵字：微服務(wù) 安全認(rèn)證企業(yè)級

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] HTTP service：HTTP服務(wù)提供商，本文中簡稱"服務(wù)提供商"。

來源：mars | https://juejin.cn/post/6906149001520037902

名詞定義

Third-party application：第三方應(yīng)用程序，本文中又稱"客戶端"（client）。

HTTP service：HTTP服務(wù)提供商，本文中簡稱"服務(wù)提供商"。

Resource Owner：資源所有者，本文中又稱"用戶"（user）,即登錄用戶。

User Agent：用戶代理，本文中就是指瀏覽器。

Authorization server：認(rèn)證服務(wù)器，即服務(wù)提供商專門用來處理認(rèn)證的服務(wù)器。

Resource server：資源服務(wù)器，即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器，可以是同一臺服務(wù)器，也可以是不同的服務(wù)器。

研發(fā)背景

當(dāng)企業(yè)應(yīng)用系統(tǒng)逐漸增多后，每個(gè)系統(tǒng)單獨(dú)管理各自的用戶數(shù)據(jù)容易形成信息孤島，分散的用戶管理模式阻礙了企業(yè)應(yīng)用向平臺化演進(jìn)。當(dāng)企業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展到一定規(guī)模，構(gòu)建統(tǒng)一的標(biāo)準(zhǔn)化賬戶管理體系將是必不可少的，因?yàn)樗瞧髽I(yè)互聯(lián)網(wǎng)云平臺的重要基礎(chǔ)設(shè)施，能夠?yàn)槠脚_帶來統(tǒng)一的帳號管理、身份認(rèn)證、用戶授權(quán)等基礎(chǔ)能力，為企業(yè)帶來諸如跨系統(tǒng)單點(diǎn)登錄、第三方授權(quán)登錄等基礎(chǔ)能力，為構(gòu)建開放平臺和業(yè)務(wù)生態(tài)提供了必要條件。

單體應(yīng)用體系下，應(yīng)用是一個(gè)整體，一般針對所有的請求都會進(jìn)行權(quán)限校驗(yàn)。請求一般會通過一個(gè)權(quán)限的攔截器進(jìn)行權(quán)限的校驗(yàn)，在登錄時(shí)將用戶信息緩存到 session
中，后續(xù)訪問則從緩存中獲取用戶信息。

隨著 Restful API、微服務(wù)的興起，基于 Token 的認(rèn)證現(xiàn)在已經(jīng)越來越普遍。Token 和 Session ID 不同，并非只是一個(gè)
key。Token 一般會包含用戶的相關(guān)信息，通過驗(yàn)證 Token 就可以完成身份校驗(yàn)。

基于 Token 認(rèn)證的優(yōu)勢如下：

服務(wù)端無狀態(tài)：Token 機(jī)制在服務(wù)端不需要存儲 session 信息，因?yàn)?Token 自身包含了所有用戶的相關(guān)信息。
性能較好，因?yàn)樵隍?yàn)證 Token 時(shí)不用再去訪問數(shù)據(jù)庫或者遠(yuǎn)程服務(wù)進(jìn)行權(quán)限校驗(yàn)，自然可以提升不少性能。
支持移動設(shè)備,支持跨程序調(diào)用，Cookie 是不允許垮域訪問的，而 Token 則不存在這個(gè)問題。

研發(fā)目標(biāo)

通過標(biāo)準(zhǔn)安全認(rèn)證流程，異構(gòu)系統(tǒng)或跨服務(wù)間能夠靈活地實(shí)現(xiàn)指定功能部件或服務(wù)的集成、統(tǒng)一的安全認(rèn)證。

基于 Token 認(rèn)證的一個(gè)典型流程如下：

用戶輸入登錄信息（或者調(diào)用 Token 接口，傳入用戶信息），發(fā)送到身份認(rèn)證服務(wù)進(jìn)行認(rèn)證（身份認(rèn)證服務(wù)可以和服務(wù)端在一起，也可以分離，看微服務(wù)拆分情況了）。
身份驗(yàn)證服務(wù)驗(yàn)證登錄信息是否正確，返回接口（一般接口中會包含用戶基礎(chǔ)信息、權(quán)限范圍、有效時(shí)間等信息），客戶端存儲接口，可以存儲在 Session 或者數(shù)據(jù)庫中。
客戶端將 Token 放在 HTTP 請求頭中，發(fā)起相關(guān) API 調(diào)用。
被調(diào)用的微服務(wù)，驗(yàn)證 Token 權(quán)限。
服務(wù)端返回相關(guān)資源和數(shù)據(jù)。

安全認(rèn)證功能點(diǎn)

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

獲取憑證, 第三方應(yīng)用客戶端使用客戶端編碼/安全碼、資源所有者用戶名/密碼等證件信息從授權(quán)服務(wù)器上獲取Access Token資源訪問憑證。
登錄授權(quán)，客戶端攜帶Access Token憑證訪問服務(wù)器資源，資源服務(wù)器驗(yàn)證Token、第三方應(yīng)用憑證信息、資源所有者User合法性，通過Token讀取資源所有者身份信息(user) 加載資源所有者的權(quán)限項(xiàng)執(zhí)行登錄。
訪問鑒權(quán)，第三方應(yīng)用客戶端訪問服務(wù)端資源，系統(tǒng)驗(yàn)證訪問者Access Token合法性、權(quán)限信息，驗(yàn)證憑證（Access Token）正確，此時(shí)資源服務(wù)器就會返回資源信息。
憑證續(xù)約，Access token訪問憑證過期需要進(jìn)行憑證續(xù)約，刷新Token憑證有效期。

技術(shù)選型分析

系統(tǒng)授權(quán)采用OAuth2開放式授權(quán)標(biāo)準(zhǔn)密碼模式。

Token采用JWT標(biāo)準(zhǔn)。

1. OAuth開放授權(quán)

OAuth（Open Authorization，開放授權(quán)）是為用戶資源的授權(quán)定義了一個(gè)安全、開放及簡單的標(biāo)準(zhǔn)，第三方無需知道用戶的賬號及密碼，就可獲取到用戶的授權(quán)信息。

主要的四種授權(quán)方式：

授權(quán)碼模式（authorization code）用在客戶端與服務(wù)端應(yīng)用之間授權(quán)碼。
簡化模式（implicit）用在移動app或者web app(這些app是在用戶的設(shè)備上的，如在手機(jī)上調(diào)起微信來進(jìn)行認(rèn)證授權(quán))。不通過第三方應(yīng)用程序的服務(wù)器，直接在瀏覽器中向認(rèn)證服務(wù)器申請令牌，跳過了"授權(quán)碼"這個(gè)步驟，因此得名。所有步驟在瀏覽器中完成，令牌對訪問者是可見的，且客戶端不需要認(rèn)證。
密碼模式（resource owner password credentials）應(yīng)用直接都是受信任的(都是由一家公司開發(fā)的)密碼模式中，用戶向客戶端提供自己的用戶名和密碼。客戶端使用這些信息，向"服務(wù)商提供商"索要授權(quán)。在這種模式中，用戶必須把自己的密碼給客戶端，但是客戶端不得儲存密碼。
客戶端模式（client credentials）用在應(yīng)用API訪問客戶端模式（Client Credentials Grant）指客戶端以自己的名義，而不是以用戶的名義，向"服務(wù)提供商"進(jìn)行認(rèn)證。嚴(yán)格地說，客戶端模式并不屬于OAuth框架所要解決的問題。在這種模式中，用戶直接向客戶端注冊，客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù)，其實(shí)不存在授權(quán)問題。

2. Json web token (JWT)

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)（(RFC
7519).該token被設(shè)計(jì)為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

認(rèn)證流程邏輯

1. 系統(tǒng)授權(quán)

第三方應(yīng)用客戶端使用客戶端編碼/安全碼、資源所有者用戶名/密碼等證件信息從授權(quán)服務(wù)器上獲取Access Token資源訪問憑證。

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

系統(tǒng)授權(quán)頒發(fā)給客戶應(yīng)用Access Token

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

2. 系統(tǒng)鑒權(quán)

客戶端攜帶Access
Token憑證訪問服務(wù)器資源，資源服務(wù)器驗(yàn)證Token、第三方應(yīng)用、資源所有者User合法性，通過Token讀取資源所有者身份信息(user)
加載資源所有者的權(quán)限執(zhí)行登錄。

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

系統(tǒng)驗(yàn)證訪問者Access Token合法性、權(quán)限信息，驗(yàn)證憑證（Access Token）正確，此時(shí)資源服務(wù)器就會返回資源信息。

3. 憑證續(xù)約

Access token訪問憑證過期需要進(jìn)行憑證續(xù)約，刷新Token憑證有效期。

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

接口設(shè)計(jì)

1. 授權(quán)憑證

獲取授權(quán)憑證，校驗(yàn)客戶端身份信息、校驗(yàn)資源所有者身份信息，下發(fā)Token憑證。

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

客戶端編碼/安全碼需要第三方應(yīng)用到系統(tǒng)注冊審核通過后生成。

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

2. 授權(quán)憑證續(xù)約

獲取續(xù)約授權(quán)憑證，校驗(yàn)客戶端身份信息、校驗(yàn)RefreshToken憑證，下發(fā)Token憑證。

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！

免責(zé)聲明：本文內(nèi)容由21ic獲得授權(quán)后發(fā)布，版權(quán)歸原作者所有，本平臺僅提供信息存儲服務(wù)。文章僅代表作者個(gè)人觀點(diǎn)，不代表本平臺立場，如有問題，請聯(lián)系我們，謝謝！

企業(yè)級微服務(wù)架構(gòu)統(tǒng)一安全認(rèn)證設(shè)計(jì)與實(shí)踐！