如何设计微服务统一认证中心

认证中心简介

单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验。请求一般会通过一个权限的拦截器进行权限的校验,在登录时将用户信息缓存到Session 中,后续访问则从缓存中获取用户信息。

而微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限。尤其当访问来源不只是浏览器,还包括其他服务的调用时,单体应用架构下的鉴权方式就不是特别合适了。

。 认证中心方案所有请求都通过网关,从而有效隐藏微服务;基于Token,服务端无状态,性能较好,支持移动设备,支持跨程序调用;基于OAuth2.0,简单,安全,开放。

认证中心原理

OAuth2

OAuth是一种开放的协议,为桌面程序或者基于 BS的web应用提供了一种简单的,标准的方式去访问需要用户授权的 API 服务。

  1. 简单:不管是 OAuth 服务提供者还是应用开发者,都很容易于理解与使用;
  2. 安全:没有涉及到用户密钥等信息,更安全更灵活;
  3. 开放:任何服务提供商都可以实现 OAuth,任何软件开发商都可以使用 OAuth

OAuth2认证协议流程

为什么使用JWT?

随着技术的发展,分布式应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息。随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。

Json Web Token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。

JWT由三段信息构成:第一段为头部(Header),第二段为载荷(Payload),第三段为签名(Signature)。每一段内容都是一个 JSON 对象,将每一段 JSON 对象采用 BASE64 编码,将编码后的内容用. 点链接一起就构成了 JWT 字符串。

头部(Header):头部用于描述关于该 JWT 的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个 JSON 对象。{"typ": "JWT","alg": "HS256"}

载荷(Payload):载荷就是存放有效信息的地方。有效信息包含标准的声明、公共的声明、私有的声明。

**签名( Signature ):**使用 Base64 编码后的 Header 和 Payload 以及一个秘钥。将 base64 加密后的 Header 和 Base64 加密后的 Payload 使用. 连接组成的字符串,通过 Header 中声明的加密方式进行加盐 secret 组合加密。

Spring Security

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。

用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。 用户授权指的是验证某个用户是否有权限执行某个操作

认证中心设计


推荐阅读

  1. 如何设计微服务统一认证中心
  2. 云计算中实施身份和访问管理(IAM)架构的最佳实践
  3. 粒度数据权限控制框架
相关推荐
小明bishe189 小时前
计算机毕业设计之基于JAVA的植物科普网站
java·spring boot·spring·架构·课程设计
聪明的一休丶10 小时前
VLLM v0.24.0 版本深度解析:新引擎、新架构与大规模服务全家桶升级
python·架构·vllm
数据库小学妹12 小时前
KES是什么?国产数据库技术架构、核心能力与选型实战解析
数据库·经验分享·架构·国产数据库·数据库选型·信创数据库
阿里云云原生14 小时前
不改代码也能监控 AI Agent?揭秘 OBI 如何在内核层精准解析 GenAI 语义流量
云原生·agent
会写代码的建筑师15 小时前
C# 源生成器使用方法
后端·架构
飞翔沫沫情16 小时前
K8s Alloy 采集 Pod 控制台日志
云原生·容器·kubernetes
没落英雄17 小时前
3. DeepAgents 实战 - Memory Skills 与上下文工程
前端·人工智能·架构
Yeats_Liao17 小时前
18:JavaBean简介及其在表单处理与DAO设计模式中的应用-Java Web
java·后端·架构
人工智能培训17 小时前
大模型驱动下传统大数据架构的变革方向
大数据·人工智能·重构·架构·agent·agi
饼干哥哥18 小时前
一篇文章卖了20万,开源CC+Obsidian打造的LLM Wiki 内容创作3.0系统
架构·开源·代码规范