microservices - 授权和微服务-6ren

microservices - 授权和微服务

转载作者：行者123 更新时间：2023-12-02 11:21:17

25

4

我们的系统正在从单体架构转向微服务架构。
微服务架构带来了我们需要解决的技术挑战，其中之一是 AuthN/AuthZ。

我们的方法是拥有一个身份验证服务，可以对用户进行身份验证并生成访问/刷新 token (JWT)。
然后，访问 token 将通过微服务链在请求 header 中传递，这样每个微服务只需验证 token 即可确定用户已成功通过身份验证。
对于 AuthZ 部分，权限强制是在微服务本身中完成的。我的问题与 AuthZ 有关。

为了说明这个谈话，让我们举一个具体的例子，一个接待员想要注册一个新成员到他的保真计划，例如从一个 Web 应用程序。
为了支持这个用例，我们假设系统有 2 个微服务，ReceptionService 和 MemberService。
ReceptionService 提供了一个 REST API 来启动成员(member)注册流程。它需要用户权限“注册”才能执行。
MemberService 提供一个 REST API 来创建受 CRUD 权限保护的新成员资源。
请求流将是:

用户先前登录的 Web 应用程序将成员注册请求发送到 ReceptionService API，在 header 中包含用户访问 token 。

ReceptionService 验证用户 token ，确保用户被授予“注册”权限，执行它需要执行的任何业务逻辑，最后向 MemberService API 发送成员创建请求，在 header 中包含用户访问 token 。

MemberService 验证用户 token ，确保用户被授予“member.create”权限，最后创建成员。

为了针对这种情况设计解决方案，我的团队研究了以下假设/先决条件:

微服务必须始终强制执行权限(至少对于重要的 API 操作，例如创建成员)。因此，上面示例中 MemberService 的 CRUD 权限，即使产品经理可能只需要顶级“注册”权限。

能够启动用例的用户，因为它具有“顶级”
权限必须能够完成它。意思它不会得到
错误，因为他缺乏来自某个地方的另一个许可
底层服务的调用链。

管理员用户不必了解权限链
这是执行用例所需的。在我们的示例中，管理员应该
只能向用户提供“注册”权限。

为了能够完成上述示例，需要为用户分配 2 种不同的权限，这打破了我们的一些假设/先决条件。为了克服这个问题，我的一位同事提议考虑在我们的 AuthN 系统中将微服务声明为身份/用户，以便为它们分配适当的权限。最初提供的用户 token 随后将被调用链中的参与服务 token 替换。
回到这个例子，新的请求流将是:

用户先前登录的 Web 应用程序，
向 ReceptionService API 发送成员(member)注册请求
在 header 中包含用户访问 token 。

ReceptionService 验证用户 token ，确保用户是
授予“注册”权限，执行任何业务逻辑
它需要做，最后发送一个成员创建请求给
MemberService API 在 header 中包含自己的服务 token (和
因此替换原始用户 token )。

MemberService 验证服务 token ，确保服务是
授予“member.create”权限，最后创建
成员。

使用此解决方案，AuthN 系统中的服务身份将通过从管理权限分配的管理员用户中过滤出来的方式进行标记。对服务身份的权限分配将是预先定义的，用户不可能对其进行配置。虽然它满足了我们的假设/先决条件，但我对这种方法几乎没有担忧:

在处理“谁做了什么”(审计)、用户身份和
将列出 token 中提供的服务标识
漠然。在我们的示例中，RegistrationService 将审核
发起操作的实际用户，但 MemberService
将审核该操作是由
“注册服务”。在报告场景中，这意味着我需要
协调来自两个系统的审计，以确定“谁实际上
确实使用相关 ID 创建了成员”。

虽然我理解为系统创建身份的必要性
不涉及实际用户的场景中的组件(自动
批量/第三方访问..)，我不喜欢更换
在用户实际使用的场景中，带有服务 token 的用户 token
启动用例。这是标准的设计模式吗？

难道我们的一些假设/先决条件是错误的？

比如，真的是一些微服务做的安全漏洞吗？
即使只有其他人才能访问，也不强制执行许可
在安全的环境中控制微服务？假设答案
后者是“不，它不会是一个安全漏洞”，那么如果
明天，我需要让 MemberService API 也可以访问
在安全环境之外(例如，因为我做到了
可供第三方使用)。我很可能需要添加一个
许可，这会破坏我的注册流程。

说我们确实希望管理员用户知道哪一组是错误的
用例需要权限，我们应该
构建系统，以便它优雅地处理由于缺少一个而导致的故障
调用链中的权限(可能使用 Sagas 和补偿
例程)？

任何评论或资源链接将不胜感激。
谢谢!

最佳答案

每个服务都应该拥有自己的权限模式，但我建议您使用服务网格不要在每个跃点/微服务中对用户进行身份验证。

关于microservices - 授权和微服务，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/52736970/

25

4

0

文章推荐： angular - Safari 浏览器不缓存图像，网站是用 Angular 构建的

文章推荐： jenkins - 管道中的 channel 关闭异常

文章推荐： android - Toast$TN.mNextView 内存泄漏

wcf - .NET RIA 服务/WCF 服务
我们正在创建一个 n 层 Silverlight LOB 应用程序，并且正在考虑使用 .NET RIA 服务。我们不清楚这与我们当前的 WCF 服务 API 的关系在哪里。我们当前的架构是: 银光
docker - docker-compose up <服务>无法正确启动<服务>
上下文:我在celery + rabbitmq堆栈上有一个主工作系统。系统已docker化(此处未提供worker服务) version: '2' services: rabbit:
c# - 托管 Web 服务/WCF 服务？
我是 Windows Azure 新手，我正在尝试将我的 Web 应用程序部署到 Windows Azure。在我的应用程序中，我使用了一些 Web 服务，现在我想知道如何在 Windows Azur
c# - Web 服务/wcf 服务，返回数据集是否更好？
因此，根据我对服务的了解，自定义对象似乎是写入服务以返回数据的方式。如果我正在编写将用于 1) 填充数据库或 2) 为网站提供信息的服务，是否有返回数据集/数据表而不是包含所有这些的自定义对象列表的用
json - Azureml Web 服务 - 如何从实验创建供移动应用程序使用的 Rest 服务？
我在 google 和 stackoverflow 上都找过答案，但似乎找不到。我正在尝试将 azure 实验的输出获取到应用程序。我使用 ibuildapp 和谷歌表单制作了该应用程序。如何使用 g
kubernetes - 服务 "kubernetes"已删除 - 意外删除了 kubernetes 服务
我不小心删除了 kubernetes svc: service "kubernetes" deleted 使用: kubectl delete svc --all 我该怎么办？我只是想删除服务，以便
php - Android Web 服务 - "poke"Web 服务
我正在努力确定解决网络服务问题的最有效方法。我的情况:我正在开发一个 Android 应用程序，它通过 Web 服务从 mysql 数据库(在我自己的服务器 PC 上)存储和检索数据。用户按下提交按
android - 什么时候绑定(bind)服务，什么时候不绑定(bind)服务
我一直在翻阅 Android 文档，我很好奇。什么时候绑定(bind)服务而不是不绑定(bind)服务？它提供了哪些优点/限制？最佳答案 When would you bind a service
hadoop - Hive 服务、HiveServer2 和 MetaStore 服务？
我试图从架构的角度理解 hive，我指的是 Tom White 关于 Hadoop 的书。我遇到了以下关于配置单元的术语:Hive Services、hiveserver2、metastore 等。
c# - Windows 服务(托管 WCF 服务)在启动时立即停止
我的问题:安装服务后我无法导航到基地址，因为服务不会继续运行(立即停止)。我需要在服务器或我的机器上做些什么才能使 baseAddress 有效吗？背景:我正在尝试学习如何使用 Windows 服务
ASP.NET Web 服务(复数)或具有多个类的 Web 服务
我正在努力就 Web 服务的正确组织做出决定。我应该有多个 ASMX 来代表 Web 服务中的不同功能，还是应该有一个 ASMX？如果我有多个 ASMX，这不构成多个 Web 服务吗？如果我只有一
Azure 服务 WebRole 中托管的 WCF REST 服务 : AccessControlService?
我正在从事一个在 azure 平台上提供休息服务的项目。该服务由 iPhone 客户端使用，这是选择其余方法的重要原因之一。我们希望通过 AccessControlService(ACS) 并使用
ionic-framework - ionic 服务 VS ionic 服务 -c
我是 Ionic 新手，正在使用 Ionic 3.9.2 我有几个终端命令来为我的 ionic 应用程序提供服务，但是，我没有发现这两个命令之间有任何区别。 ionic serve 和 ionic s
Java Web 服务。如何在 Java 控制台应用程序中创建 Web 服务？
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
web-services - 标准 Web 服务 v 安全 Web 服务
作为项目的一部分，我期待着问这个问题。我过去有开发和使用 Web 服务的经验，并且非常熟悉这些服务。但是，有人告诉我，作为下一个项目的一部分，我将需要使用“安全”的 Web 服务。您能否提供一些见解，
cordova - 如何使用 Apache Cordova 调用 wcf 服务/Web 服务
我浏览了很多关于这个问题的信息，但找不到解决方案。这里的问题是，我想使用 Apache Cordova 和 Visual Studio 连接到 wcf。因此，如果有人找到合适的工作解决方案，请发布链接
c# - 从 jquery/javascript 调用 Windows 服务 wcf 服务
我在 Windows 服务中托管了一个 WCF(从 MS 网站示例中选取)，我可以使用 SOAP UI 访问和调用方法。但是，当我尝试使用 jquery 从 Web 应用程序调用相同的方法时，我不断收
php - 如何保护 web 服务，以便只有我的 android 应用程序可以使用我的 web 服务
我们构建了一个 Android 应用程序，它从 Android 向我的 PHP 服务器发送 HTTP 请求。作为响应，Web 服务将 JSON 对象发送到 Android 应用程序以显示结果。就像其
android - 如何将值传递给 Android 应用程序中的 Soap 服务(ASMX 服务)中的标志枚举参数
我想在 android 应用程序中调用 soap web 服务，它需要一个枚举值作为参数，它是一个标志枚举。如何从 Android 应用程序将一些值作为标志枚举传递给此 Web 服务方法？我使用 K
android - 无法在模拟器上运行 Google Play 服务(需要更新 Google Play 服务)
我尝试在模拟器上安装 Google Play。我已按照 Google Dev Site 中的说明进行操作. 使用 ADV 管理器似乎没问题，设备的目标是 Google API 版本 22，但是当我运行

首页

博学

6Ren·AI

商城

microservices - 授权和微服务