您当前的位置:首页 > 电脑百科 > 程序开发 > 架构

百度技术架构师总结:微服务架构之访问安全

时间:2019-09-03 14:21:59  来源:  作者:
来源:不止思考

应用程序的访问安全又是我们每一个研发团队都必须关注的重点问题。尤其是在我们采用了微服务架构之后,项目的复杂度提升了N个级别,相应的,微服务的安全工作也就更难更复杂了。并且我们以往擅长的单体应用的安全方案对于微服务来说已经不再适用了。我们必须有一套新的方案来保障微服务架构的安全。

在探索微服务访问安全之前,我们还是先来回顾一下单体应用的安全是如何实现的。

一、传统单体应用如何实现「访问安全」?

下图就是一个传统单体应用的访问示意图:

 

百度技术架构师总结:微服务架构之访问安全

 

 

(图片来自WillTran在slideshare分享)

在应用服务器里面,我们有一个auth模块(一般采用过滤来实现),当有客户端请求进来时,所有的请求都必须首先经过这个auth来做身份验证,验证通过后,才将请求发到后面的业务逻辑。

通常客户端在第一次请求的时候会带上身份校验信息(用户名和密码),auth模块在验证信息无误后,就会返回Cookie存到客户端,之后每次客户端只需要在请求中携带Cookie来访问,而auth模块也只需要校验Cookie的合法性后决定是否放行。

可见,在传统单体应用中的安全架构还是蛮简单的,对外也只有一个入口,通过auth校验后,内部的用户信息都是内存/线程传递,逻辑并不是复杂,所以风险也在可控范围内。

那么,当我们的项目改为微服务之后,「访问安全」又该怎么做呢。

二、微服务如何实现「访问安全」?

在微服务架构下,有以下三种方案可以选择,当然,用的最多的肯定还是OAuth模式。

  • 网关鉴权模式(API Gateway)
  • 服务自主鉴权模式
  • API Token模式(OAuth2.0)

下面分别来讲一下这三种模式:

  1. 网关鉴权模式(API Gateway)
百度技术架构师总结:微服务架构之访问安全

 

  1. (图片来自WillTran在slideshare分享)
  2. 通过上图可见,因为在微服务的最前端一般会有一个API网关模块(API Gateway),所有的外部请求访问微服务集群时,都会首先通过这个API Gateway,所以我们可以在这个模块里部署auth逻辑,实现统一集中鉴权,鉴权通过后,再把请求转发给后端各个服务。
  3. 这种模式的优点就是,由API Gateway集中处理了鉴权的逻辑,使得后端各微服务节点自身逻辑就简单了,只需要关注业务逻辑,无需关注安全性事宜。
  4. 这个模式的问题就是,API Gateway适用于身份验证和简单的路径授权(基于URL的),对于复杂数据/角色的授权访问权限,通过API Gateway很难去灵活的控制,毕竟这些逻辑都是存在后端服务上的,并非存储在API Gateway里。
  5. 服务自主鉴权模式
百度技术架构师总结:微服务架构之访问安全

 

  1. (图片来自WillTran在slideshare分享)
  2. 服务自主鉴权就是指不通过前端的API Gateway来控制,而是由后端的每一个微服务节点自己去鉴权。
  3. 它的优点就是可以由更为灵活的访问授权策略,并且相当于微服务节点完全无状态化了。同时还可以避免API Gateway 中 auth 模块的性能瓶颈。
  4. 缺点就是由于每一个微服务都自主鉴权,当一个请求要经过多个微服务节点时,会进行重复鉴权,增加了很多额外的性能开销。
  5. API Token模式(OAuth2.0)
百度技术架构师总结:微服务架构之访问安全

 

  1. (图片来自网络)
  2. 如图,这是一种采用基于令牌Token的授权方式。在这个模式下,是由授权服务器(图中Authorization Server)、API网关(图中API Gateway)、内部的微服务节点几个模块组成。
  3. 流程如下:
  4. 第一步:客户端应用首先使用账号密码或者其它身份信息去访问授权服务器(Authorization Server)获取 访问令牌(Access Token)。
  5. 第二步:拿到访问令牌(Access Token)后带着它再去访问API网关(图中API Gateway),API Gateway自己是无法判断这个Access Token是否合法的,所以走第三步。
  6. 第三步:API Gateway去调用Authorization Server校验一下Access Token的合法性。
  7. 第四步:如果验证完Access Token是合法的,那API Gateway就将Access Token换成JWT令牌返回。
  8. (注意:此处也可以不换成JWT而是直接返回原Access Token。但是换成JWT更好,因为Access Token是一串不可读无意义的字符串,每次验证Access Token是否合法都需要去访问Authorization Server才知道。但是JWT令牌是一个包含JOSN对象,有用户信息和其它数据的一个字符串,后面微服务节点拿到JWT之后,自己就可以做校验,减少了交互次数)。
  9. 第五步:API Gateway有了JWT之后,就将请求向后端微服务节点进行转发,同时会带上这个JWT。
  10. 第六步:微服务节点收到请求后,读取里面的JWT,然后通过加密算法验证这个JWT,验证通过后,就处理请求逻辑。
  11. 这里面就使用到了OAuth2.0的原理,不过这只是OAuth2.0各类模式中的一种。

由于OAuth2.0目前最为常用,所以接下来我再来详细讲解一下OAuth2.0的原理和各类用法。

三、详解 OAuth2.0 的「 访问安全 」?

OAuth2.0是一种访问授权协议框架。它是基于Token令牌的授权方式,在不暴露用户密码的情况下,使 应用方 能够获取到用户数据的访问权限。

例如:你开发了一个视频网站,可以采用第三方微信登陆,那么只要用户在微信上对这个网站授权了,那这个网站就可以在无需用户密码的情况下获取用户在微信上的头像。

OAuth2.0 的流程如下图:

 

百度技术架构师总结:微服务架构之访问安全

 

 

OAuth2.0 里的主要名词有:

  • 资源服务器:用户数据/资源存放的地方,在微服务架构中,服务就是资源服务器。在上面的例子中,微信头像存放的服务就是资源服务器。
  • 资源拥有者:是指用户,资源的拥有人。在上面的例子中某个微信头像的用户就是资源拥有者。
  • 授权服务器:是一个用来验证用户身份并颁发令牌的服务器。
  • 客户端应用:想要访问用户受保护资源的客户端/Web应用。在上面的例子中的视频网站就是客户端应用。
  • 访问令牌:Access Token,授予对资源服务器的访问权限额度令牌。
  • 刷新令牌:客户端应用用于获取新的 Access Token 的一种令牌。
  • 客户凭证:用户的账号密码,用于在 授权服务器 进行验证用户身份的凭证。

OAuth2.0有四种授权模式,也就是四种获取令牌的方式:授权码、简化式、用户名密码、客户端凭证。
 

下面来分别讲解一下:

  1. 授权码(Authorization Code)
  2. 授权码模式是指:客户端应用先去申请一个授权码,然后再拿着这个授权码去获取令牌的模式。这也是目前最为常用的一种模式,安全性比较高,适用于我们常用的前后端分离项目。通过前端跳转的方式去访问 授权服务器 获取授权码,然后后端再用这个授权码访问 授权服务器 以获取 访问令牌。
百度技术架构师总结:微服务架构之访问安全

 

  1. 流程如上图。
  2. 第一步,客户端的前端页面(图中UserAgent)将用户跳转到 授权服务器(Authorization Server)里进行授权,授权完成后,返回 授权码(Authorization Code)
  3. 第二步,客户端的后端服务(图中Client)携带授权码(Authorization Code)去访问 授权服务器,然后获得正式的 访问令牌(Access Token)
  4. 页面的前端和后端分别做不同的逻辑,前端接触不到Access Token,保证了Access Token的安全性。
  5. 简化式(Implicit)
  6. 简化模式是在项目是一个纯前端应用,在没有后端的情况下,采用的一种模式。
  7. 因为这种方式令牌是直接存在前端的,所以非常不安全,因此令牌的有限期设置就不能太长。
百度技术架构师总结:微服务架构之访问安全

 

  1. 其流程就是:
  2. 第一步:应用(纯前端的应用)将用户跳转到 授权服务器(Authorization Server)里进行授权,授权完成后,授权服务器 直接将 Access Token 返回给 前端应用,令牌存储在前端页面。
  3. 第二步:应用(纯前端的应用)携带 访问令牌(Access Token) 去访问资源,获取资源。
  4. 在整个过程中,虽然令牌是在前端URL中直接传递,但注意,令牌在HTTP协议中不是放在URL参数字段中的,而是放在URL锚点里。因为锚点数据不会被浏览器发到服务器,因此有一定的安全保障。
  5. 用户名密码(Resource Owner Credentials)
百度技术架构师总结:微服务架构之访问安全

 

  1. 这种方式最容易理解了,直接使用用户的用户名/密码作为授权方式去访问 授权服务器,从而获取Access Token,这个方式因为需要用户给出自己的密码,所以非常的不安全性。一般仅在客户端应用与授权服务器、资源服务器是归属统一公司/团队,互相非常信任的情况下采用。
  2. 客户端凭证(Client Credentials)
百度技术架构师总结:微服务架构之访问安全

 

  1. 这是适用于服务器间通信的场景。客户端应用拿一个用户凭证去找授权服务器获取Access Token。

以上,就是对微服务架构中「访问安全」的一些思考。



Tags:微服务架构   点击:()  评论:()
声明:本站部分内容来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除,谢谢。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
1、Spring Cloud介绍Spring Cloud家族有许多成员:Spring Cloud Config - 配置管理工具包,集中化管理集群配置,目前支持本地存储、Git 以及 Subversion;Spring Cloud Bus - 事件、...【详细内容】
2020-06-21   微服务架构  点击:(1)  评论:(0)  加入收藏
IOE架构对于金融业来说,涉及信息安全和成本过高的问题之外,还有许多技术上的问题。IOE架构的本质是“集中式计算+闭源商用系统”,程序运行在少数主机服务器上,底层代码无从得知,...【详细内容】
2020-06-01   微服务架构  点击:(9)  评论:(0)  加入收藏
当前,传统企业的 IT 系统以单体架构为主,在面对互联网业务的冲击时,系统架构的性能瓶颈逐渐显现。云计算、Docker、DevOps、持续交付等概念的深入人心,以 Spring Cloud 为代表的...【详细内容】
2020-05-10   微服务架构  点击:(5)  评论:(0)  加入收藏
1. 前言3 月 10 日,Linux 基金会宣布旗下项目 TARS 正式成立 TARS 基金会,宣称致力于构建微服务。该项目是腾讯公司捐献给 Linux 基金会的一个项目,据称该项目在腾讯已经使用...【详细内容】
2020-03-27   微服务架构  点击:(7)  评论:(0)  加入收藏
在微服务时代,服务数量及规模越来越大,服务的部署及运维的模式如果仍然采用传统方式就会大大增加运维成本。所以微服务时代的运维方式一定是Devops模式,通过构建自动化运维发...【详细内容】
2020-03-16   微服务架构  点击:(6)  评论:(0)  加入收藏
一:最初的需求几年前,小明和小皮一起创业做网上超市。小明负责程序开发,小皮负责其他事宜。当时互联网还不发达,网上超市还是蓝海。只要功能实现了就能随便赚钱。所以他们的需求...【详细内容】
2020-03-14   微服务架构  点击:(82)  评论:(0)  加入收藏
导言:耦合性,是对模块间关联程度的度量。耦合的强弱取决于模块间接口的复杂性、调用模块的方式以及通过界面传送数据的多少。模块间的耦合度是指模块之间的依赖关系,包括控制关...【详细内容】
2020-02-16   微服务架构  点击:(27)  评论:(0)  加入收藏
一、微服务简介1. 微服务的诞生微服务是基于分而治之的思想演化出来的。过去传统的一个大型而又全面的系统,随着互联网的发展已经很难满足市场对技术的需求,于是我们从单独架...【详细内容】
2020-02-06   微服务架构  点击:(0)  评论:(0)  加入收藏
前言关于微服务的架构,我们前面的文章中给出了大概的说明,也就是说微服务架构的应用与传统的大型单体应用架构相比,最大的区别在于从原来的基于单一应用进程的设计转变为基...【详细内容】
2020-01-09   微服务架构  点击:(34)  评论:(0)  加入收藏
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认...【详细内容】
2020-01-08   微服务架构  点击:(8)  评论:(0)  加入收藏
微服务是什么?微服务是一种细粒度(Fine-Grain)的SOA或许在座的高朋了解过其概念。个人认为,与其说微服务是一种技术,不如将其定义为一种架构,而架构则是"技"的实现与"术"的策略相...【详细内容】
2019-12-02   微服务架构  点击:(42)  评论:(0)  加入收藏
什么是微服务首先微服务并没有一个官方的定义,想要直接描述微服务比较困难,我们可以通过对比传统WEB应用,来理解什么是微服务。 传统的WEB应用核心分为业务逻辑、适配器以及API...【详细内容】
2019-11-15   微服务架构  点击:(40)  评论:(0)  加入收藏
1.微服务限流随着微服务的流行,服务和服务之间的稳定性变得越来越重要。缓存、降级和限流是保护微服务系统运行稳定性的三大利器。缓存的目的是提升系统访问速度和增大系统能...【详细内容】
2019-10-28   微服务架构  点击:(46)  评论:(0)  加入收藏
什么是微服务?在了解微服务架构前,我们需要先了解什么是微服务 在传统单体架构(如上图左侧)中,我们一个项目的所有模块是聚合在一个程序中。我们所有模块数据都存放到一个数据库...【详细内容】
2019-10-25   微服务架构  点击:(26)  评论:(0)  加入收藏
一、背景软件架构,总是在不断的演进中...把时间退回到二十年之前,当时企业级领域研发主要推崇的还是C/S模式,PB、Delphi这样的开发软件是企业应用开发的主流。随着时间的推移,基...【详细内容】
2019-10-02   微服务架构  点击:(22)  评论:(0)  加入收藏
在微服务世界中,每个人都使用缓存,缓存无处不在。缓存可以提高性能,减少后端负载,或者减少down机时间。有许多方法可以配置系统中的缓存,缓冲应该被放在系统的哪个层上?根据以往...【详细内容】
2019-09-27   微服务架构  点击:(24)  评论:(0)  加入收藏
以前的文章讨论过《互联网架构,究竟为啥要做服务化?》,随着数据量、并发量、业务复杂度的增长,互联网架构会出现以下问题: 代码到处拷贝 底层复杂性扩散 基础库(so/jar/dll)耦合 SQ...【详细内容】
2019-09-17   微服务架构  点击:(46)  评论:(0)  加入收藏
案例背景介绍:在实践微服务架构时,我们经常会面对以下需求:如何隔离外部和内部,如何保障后台服务安全性,如何降低运维成本,如何减少变更的流程和错误成本,如何减少客户端与服务的耦...【详细内容】
2019-09-17   微服务架构  点击:(52)  评论:(0)  加入收藏
前言最近系统(基于SpringCloud+K8s)上线,运维团队早上8点左右在群里反馈,系统登录无反应!我的第一反应是Mysql数据库扛不住了。 排查问题也是一波三折,有网络问题,也有mysql读写分...【详细内容】
2019-09-16   微服务架构  点击:(56)  评论:(0)  加入收藏
Aliware是阿里巴巴中间件技术品牌,包含5个中间件产品,主要是:EDAS、DRDS、MQ、ARMS、CSB。Aliware从2007年开始,经历了8年多的双11大促,每次大促都能使产品体系更上一个台阶。像JStorm、Dubbo、Rocketmq等等一系列的开源产...【详细内容】
2019-09-09   微服务架构  点击:(72)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条