真实记录共享|全面探索微服务访问安全设计解决方案

我今天带给您的是树人云工程师Wen Quan高效的运维团队的共享记录. 从传统的单片应用程序体系结构到微服务体系结构，安全问题一直是关注的焦点. Wen Quan与您分享了微服务访问安全设计解决方案的探索和实践.

我们首先从传统的单片应用程序体系结构下的访问安全性设计开始，然后分析现代微服务体系结构下的访问安全性涉及的原理，然后讨论几种常用微服务体系结构下的访问安全性设计. 最后，分析了如何解决Spring Cloud微服务架构下的访问安全问题.

上面的显示了单个应用程序的访问逻辑. 用户通过客户端发送http或https请求，并且在负载平衡后，单个应用程序接收到该请求. 然后通过auth层，执行身份验证和权限批准. 在这里，通常与后端进行交互. 传递之后，请求将分发到相应的功能逻辑层. 完成相关操作后，将结果返回给客户端.

通过以上分析，我们可以看到传统的单片应用程序的访问安全性设计原则是:

首先，需要验证每个用户请求是否安全，这里可以分为两种情况:

一个是没有会话请求，它需要经过几个步骤才能完成会话. 通常，为了验证当前用户的凭据并获得当前用户的身份，两个步骤都需要通过访问持久对象（例如）来完成. 最后一步是为当前可用性创建会话，并返回客户端以启用该会话.

另一个是带有会话的请求. 您只需在请求中验证当前会话的有效性即可继续请求.

第二，用户的操作请求是在后端的单个过程中执行和完成的，这完全取决于后端调用方法的可靠性. 一旦发生错误，应用程序将无法再次重复该请求.

总的来说，传统的单片应用程序设计相对简单且单一，暴露于外界的入口相对较少，其优点是容易受到攻击并造成伤害.

由于单体应用程序的简单和单一特性，您需要注意相关问题:

让我们看一下这个典型的微服务设计架构图. 如图所示，它具有以下特征:

从上面的功能分析中，如果要描述访问安全性设计的原理，有必要查看微服务体系结构下访问安全性的难点. 这里有几点:

根据实际情况，还有其他痛点，这里不再赘述，这些痛点构成了微服务体系结构设计访问安全性的原理.

这里列出了四种微服务之间调用安全，首先简要介绍一下，然后逐一详细说明.

第一个使用HTTP Basic Auth协议，再加上一个独立的Auth.

第二个也使用HTTP基本身份验证协议. 与第一个区别是使用集中式Auth

第三个是API令牌协议，每个人都应该熟悉. 许多公共服务（例如Github和Twitter）都使用这种方法.

第四个SAML安全断言标记语言被翻译为“安全声明标记语言”，它是一种基于XML的协议，在企业中使用得更多.

以下逐一介绍.

第一个，如上图所示，使用基本身份验证协议，每个服务都有其自己的（或其他持久性仓库），用于存储凭据敏感数据.

简要介绍基本身份验证协议. 它将授权消息标头添加到用户的请求中. 此消息头的值是固定格式:

基本base64编码（用户名+“: ” +密码）

完整的邮件标题为:

授权: 基本QWxhZGRpbjpvcGVuIHNlc2FtZQ ==

所有流行的Web浏览器基本上都支持基本身份验证协议.

该程序的特征:

使用此程序的好处摘要:

同时，使用此方案时应注意以下几点:

由于每种服务都有自己的凭据存储机制，因此有必要为每种服务设计如何预先存储和查找用户的凭据

由于每个用户请求都带有用户的凭据，因此有必要预先设计如何管理身份验证机制

第二个，如以上所示，使用基本身份验证协议. 与第一种解决方案相比，每个服务共享相同的Auth DB.

第二个方案的特征与第一个方案非常相似:

使用第二种解决方案的好处摘要:

除了第一个解决方案的类似优点之外，由于使用相同的持久性仓库来管理用户信息，因此简化了原始的独立管理机制

同时，使用此方案时应注意以下几点:

第三种方法，如上面的所示，使用基于令牌的协议对用户请求执行操作认证.

简单介绍最基本的基于令牌的交互方法:

业界常用的OAuth是基于令牌逻辑的Internet级身份验证机制.

第三个程序具有明显的特点:

使用令牌进行身份验证，替换用户自己的用户名和密码微服务之间调用安全，并提高交互的安全性

每个用户请求都需要携带一个有效的令牌并与Auth服务进行交互以进行验证

使用第三个选项的好处:

由于令牌用于身份验证，因此业务服务将看不到用户的敏感信息

同时，使用此方案时应注意以下几点:

Auth服务可能需要处理大量的令牌生产操作

第四，如以上所示，SAML协议用于对用户请求执行操作认证. 它是基于XML的标准，用于在不同的安全域之间交换身份验证和授权数据. SAML标准定义了身份提供者（identity provider）和服务提供者（service provider），它们构成了前面提到的不同安全域.

上图中Google提供的Apps SSO机制简要介绍了SAML身份验证的交互方法:

SAML还广泛用于该行业，包括IBM Weblogic和其他产品.

第四个方案的特征是:

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-219128-1.html