网站前置审批表,怎么做正规网站,昆明大型网站建设费用,wordpress 菜单两列显示之前整理的微服务认证文档#xff0c;分享一下 微服务认证解决方案1.Token认证有两种方式#xff1a;OAuth2.0#xff0c;JWT2. oAuth2.0授权方式2.1授权码模式#xff1a;2.2简化模式:简化模式详细介绍2.3密码模式#xff1a;密码模式详细介绍2.4客户端模式#xff1a;2…之前整理的微服务认证文档分享一下
微服务认证解决方案1.Token认证有两种方式OAuth2.0JWT2. oAuth2.0授权方式2.1授权码模式2.2简化模式:简化模式详细介绍2.3密码模式密码模式详细介绍2.4客户端模式2.5结论:选择密码模式3.依据用户名和密码获取token验证访问资源服务器流程4 .名词解释微服务认证有四种解决方案分别是单点登录SSO方案、分布式会话(Session)方案、客户端令牌(Token)方案客户端和API网关结合 单点登录方案是最常见的解决方案但是每个与用户交互的服务都需要通过认证服务器通信会产生大量的重复认证和网络碎片流量。分布式会话方案 将用户信息session 共享存储当用户访问微服务时直接从共享存储中获取。该解决方案在高可用和扩展方面很好但是会话信息保存到共享存储中要保证数据安全这块实现复杂度比较高。客户端网络令牌方案:令牌有客户端生成并由认证服务器签名在令牌中包含足够的信息客户端在请求时会将令牌附件在请求上从而为为各个微服务提供用户身份认证。但是如何及时的注销用户认证则是一个大问题。客户端令牌和API网关结合 通过微服务架构中实施API网关将原始的客户端令牌转化为内部的令牌一方面可以有效的隐藏服务另一方面通过API网关的通一入口可以实现令牌的注销处理。综上所述采用客户端令牌和API网关解决了会话信息的安全和及时注销用户认证问题。 基于令牌(token)包含几层含义 令牌是认证用户信息的集合。令牌包含了足够的信息验证令牌就可以完成用户的身份的验证。服务器会通过HTTP头部中的Authorization获取令牌信息并进行检查并不需要在服务端存储任何信息。通过服务端验证令牌检查机制可以应用在浏览器和其他第三方应用程序上。支持夸程序的调用。Cookie是不支持跨域访问而token不存在这个问题。 1.Token认证有两种方式OAuth2.0JWT OAuth2.0 授权流程 1)用户打开客户端后客户端要求用户给预授权 2)用户同意给予客户端授权 3)客户端使用上一步的授权向认证服务器申请令牌 4)认证服务器对客户端进行认证确定无误后同意发放令牌 5)客户端使用令牌向资源服务服务器申请资源 6)资源服务器确认无误后同意向客户端开发资源 2. oAuth2.0授权方式 客户端必须得到用户的授权authorization grant才能获得令牌access token。oAuth 2.0 定义了四种授权方式。 implicit简化模式不推荐使用authorization code授权码模式resource owner password credentials密码模式client credentials客户端模式 2.1授权码模式 1.用户访问客户端(应用界面) 2.客户端将用户引导到授权服务器上 3.用户是否同意客户端授权 4.如果同意授权授权服务器将重定到客户端事先指定的地址同时附加上授权码token 5.客户端收到授权码后同时附加上要访问的页面经客户端后台服务向授权服务器申请令牌 6.授权服务验证授权码后向客户端发送访问令牌(Access Token)和更新令牌(Refresh Token)并重新制定上步指定的地址 2.2简化模式: 指不通过客户端的后台服务器来获取访问令牌客户端一般指的是浏览器客户端通过脚本语言(一般是javascript)来完成授权服务器申请服务器的操作 简化模式详细介绍 简化模式适应于纯静态页面所谓的纯静态界面应用也就是应用没有在服务器代码执行的权限(通常把代码托管在别人服务器上)只有js代码的控制权限。 这种场景下应用没有持久化的能力。因此按照oAuth2.0的规定这种应用拿不到Refresh Token的。其授权流程入下图 。 2.3密码模式 密码模式是指客户端通过用户提供的用户名和密码信息直接通过授权信息服务器来获取授权。这种模式下用户把自己用户名和密码提供给客户端但是客户端不保存这些信息。 该模式使用客户端高度信任的情况下。 该模式授权流程 1.用户向客户提供相应的用户名和密码 2.客户端依据用户提供的用户名和密码向授权服务器请求令牌 3.授权服务确认后返回 令牌给客户端 密码模式详细介绍 密码模式中用户向客户端提供自己的用户名和密码。客户端使用这些信息向“服务提供商”索要授权(即向授权服务器索要服务请求令牌)。在这种模式下用户必须把用户名和密码给客户端但是客户端不存储密码。这通常在用户端对客户端高度信任的情况下比如客户端是操作系统的一部分。 一个典型的例子同一个企业的不同产品要使用本企业的oAuth2.0体系。有些情况下产品希望能够定制化授权界面。由于同一个企业不需要授权通过授权界面来询问用户授权意向而只需要认证用户身份即可。这个时候产品研发定制授权界面用户输入用户名和密码并直接传递给授权进行授权即可。 2.4客户端模式 指客户端以自己的名义而不是用户的名义向授权服务器进行认证 客户端模式详细介绍 如果信任关系再进一步或者调用者是一个后端的模块没有用户界面的时候可以使用客户端模式。鉴权服务器直接对客户端进行身份验证验证通过后返回 token。 2.5结论:选择密码模式 由于简化模式整体过程整个过程在前端界面实现这里不建议使用authorization code虽然是最安全的最严密的但是网络交互比较多由于cem项目是内网实现相应的API开发的接口不会放在外网因此建议在密码模式和客户端模式中二者选择其中一个建议选择密码模式; 由于cem产品基本上部署打内网环境建议选择密码模式鉴权服务器直接对客户端用户输入的用户名和密码进行身份验证换取token。 总结 依据产品实际情况出发选择适合当前场景的 认证方式
3.依据用户名和密码获取token验证访问资源服务器流程 后续补充 4 .名词解释 名词解释 第三方应用程序Third-party application 又称之为客户端client比如上节中提到的设备PC、Android、iPhone、TV、Watch我们会在这些设备中安装我们自己研发的 APP。又比如我们的产品想要使用 QQ、微信等第三方登录。对我们的产品来说QQ、微信登录是第三方登录系统。我们又需要第三方登录系统的资源头像、昵称等。对于 QQ、微信等系统我们又是第三方应用程序。HTTP 服务提供商HTTP service 我们的云笔记产品以及 QQ、微信等都可以称之为“服务提供商”。资源所有者Resource Owner 又称之为用户user。用户代理User Agent 比如浏览器代替用户去访问这些资源。认证服务器Authorization server 即服务提供商专门用来处理认证的服务器简单点说就是登录功能验证用户的账号密码是否正确以及分配相应的权限资源服务器Resource server 即服务提供商存放用户生成的资源的服务器。它与认证服务器可以是同一台服务器也可以是不同的服务器。简单点说就是资源的访问入口比如上节中提到的“云笔记服务”和“云相册服务”都可以称之为资源服务器。
