认证和鉴权

SpringCloud认证和鉴权方案

开始我们接触的时候权限认证 无从下手,但是当接触之后会发现 权限认证时一件很简单的事情,但是我们 方案众多又该如何选择呢,下面会分别对每种方案进行简单的阐述,有问题或者不明白的可以私信或者下方留言,一起讨论

含义

认证:简单来说,认证这个用户是谁。

鉴权:简单来说,就是了解这个用户能做什么事情

本篇章介绍如下几种方式

1.单体应用下的常用方案

2.微服务下的SSO单点登陆方案

3.分布式Session与网关结合方案

4.客户端Token与 网关结合方案

5.浏览器Cookie与网关结合方案

6.网关Token和 服务间鉴权结合

(还有狠多,不再一一列举)

7.简单案例讲解

详细介绍

1.单体应用下的常用方案

传统的单体应用,一般会写一个固定的认证和鉴权的包,里面包含很多的认证和鉴权的类,当用户请求时可以利用session的方式,把用户存入session并生成一个sessionid,之后返回客户端。客户端可以存在cookie里,从而在后续的请求中顺利通过验证。

常用框架:shiro 、自定义注解、Filter拦截等

2. 微服务下的SSO单点登陆方案

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务 整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,如CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。

但是针对微服务(服务之间调用):每个 服务都进行每个用户端 的sso动作,那么每个服务里都会做用户的认证和鉴权,可能保存每个用户的信息或者每个用户都会和鉴权服务打交道,这些情况都会带来非常大的网路开销和性能消耗,也有可能会造成数据的不一致,所以不建议用这种方案。

3.分布式Session与网关结合方案

1)用户在网关进行sso登陆 ,进行用户认证,检查用户是否存在和有效

2)如何用户通过,则将用户信息存储在第三方中间件中,如mysql、redis

3)后端可以从共享存储拿到用户的数据

很多 场景下,这种方案是推荐的,因为方便扩展,也 可以保证高可用的方案。但是这种方案的缺点是依赖于第三方中间件,且这些部件需要 做高可用,并且增加安全的控制,所有对于实现有一定的复杂度

4.客户端Token与 网关结合方案

实现步骤

1)客户端持有一个token,通常可用jwt或者其它加密的算法实现自己的一种Token,然后通过token保存用户的信息

2)发起用户请求并携带token,token传到网关层后,网关 层进行认证和校验。

3)校验通过,携带token到后端服务中

4)如果涉及到用户的大量信息存放,token就有可能不太合适(或者用中间件来存放)

这种方案也是业界很常用的方案,但是对于 token来说,他的注销有一定的麻烦,需要在网关层进行Token的注销

5. 浏览器Cookie与网关结合方案

这种方式和上面的方式类似,但不同的是我们把用户的信息存放在cookie里,然后通过网关来解析cookie,从而 获取用户的相关信息,这种方式在一些老系统做改造时遇到的比较多,适合做为老系统改造时采取的方案,因为很多系统需要继承,这时cookie在别的系统中也是同样的适用。

6. 网关Token和 服务间鉴权结合

我们都知道网关适合做认证和鉴权,但是在安全层面,我们要求更严格的权限,对于有些项目来说,本身网络跟外部隔离,再加上其它的安全手段,所以我们只要求在网关上鉴权就可以了。

但是有些时候服务对 服务之间的调用进行鉴权,知道某个用户是否有权限调用某个接口,这些都需要进行鉴权。

这时的方案如下。

1)在gateway网关层做认证,通过用户校验后,传递用户信息到header中,后台做服务在收到header后进行解析,解析完后查看是否有调用此服务或者某个url的权限,然后完成鉴权

2)从服务内部发出的请求,在出去时进行拦截,把用户信息保存在header里,然后传出去,被调用方取到header后进行解析和鉴权

**7.**略


End

=