分布式认证方案

随着软件环境和需求的变化，软件的架构由单体结构演变为分布式架构，具有分布式架构的系统叫分布式系统，分布式系统的运行通常依赖网络，它将单体结构的系统分为若干服务，服务之间通过网络交互来完成用户的业务处理，当前流行的微服务架构就是分布式系统架构，如下图:

在这里插入图片描述

分布式系统具体如下基本特点:

分布式系统的每个服务都会有认证、授权的需求，如果每个服务都实现一套认证授权逻辑会非常冗余，考虑分布式系统共享性的特点，需要由独立的认证服务处理系统认证授权的请求;考虑分布式系统开放性的特点，不仅对系统内部服务提供认证，对第三方系统也要提供认证。分布式认证的需求总结如下:

统一认证授权
提供独立的认证服务，统一处理认证授权。无论是不同类型的用户，还是不同种类的客户端(web端，H5、APP)，均采用一致的认证、权限、会话机制，实现统一认证授权。

要实现统一则认证方式必须可扩展，支持各种认证需求，比如:用户名密码认证、短信验证码、二维码、人脸识别等认证方式，并可以非常灵活的切换。
应用接入认证
应提供扩展和开放能力，提供安全的系统对接机制，并可开放部分API给接入第三方使用，一方应用(内部系统服务)和三方应用(第三方应用)均采用统一机制接入。

基于session的认证方式

在分布式的环境下，基于session的认证会出现一个问题，每个应用服务都需要在session中存储用户身份信息，通过负载均衡将本地的请求分配到另一个应用服务需要将session信息带过去，否则会重新认证。

这个时候，通常的做法有下面几种:
- Session复制: 多台应用服务器之间同步session，使session保持一致，对外透明。
- Session黏贴: 当用户访问集群中某台服务器后，强制指定后续所有请求均落到此机器上。
- Session集中存储: 将Session存入分布式缓存中，所有服务器应用实例统一从分布式缓存中存取Session。
总体来讲，基于session认证的认证方式，可以更好的在服务端对会话进行控制，且安全性较高。但是，session机制方式基于cookie，在复杂多样的移动客户端上不能有效的使用，并且无法跨域，另外随着系统的扩展需提高 session的复制、黏贴及存储的容错性。
基于token的认证方式

基于token的认证方式，服务端不用存储认证数据，易维护扩展性强，客户端可以把token 存在任意地方，并且可以实现web和app统一认证机制。其缺点也很明显，token由于自包含信息，因此一般数据量较大，而且每次请求都需要传递，因此比较占带宽。另外，token的签名验签操作也会给cpu带来额外的处理负担。

在这里插入图片描述

根据选型的分析，决定采用基于token的认证方式，它的优点是:

分布式系统认证技术方案见下图:
在这里插入图片描述

流程描述:

用户通过接入方(应用)登录，接入方采取OAuth2.0方式在统一认证服务(UAA)中认证。
认证服务(UAA)调用验证该用户的身份是否合法，并获取用户权限信息。
认证服务(UAA)获取接入方权限信息，并验证接入方是否合法。
若登录用户以及接入方都合法，认证服务生成jwt令牌返回给接入方，其中jwt中包含了用户权限及接入方权限。
后续，接入方携带jwt令牌对API网关内的微服务资源进行访问。
API网关对令牌解析、并验证接入方的权限是否能够访问本次请求的微服务。
如果接入方的权限没问题，API网关将原请求header中附加解析后的明文Token，并将请求转发至微服务。
微服务收到请求，明文token中包含登录用户的身份和权限信息。因此后续微服务自己可以干两件事:
- 用户授权拦截(看当前用户是否有权访问该资源)
- 将用户信息存储进当前线程上下文(有利于后续业务逻辑随时获取当前用户信息)

流程所涉及到UAA服务、API网关这三个组件职责如下:

统一认证服务(UAA) 它承载了OAuth2.0接入方认证、登入用户的认证、授权以及生成令牌的职责，完成实际的用户认证、授权功能。
API网关作为系统的唯一入口，API网关为接入方提供定制的API集合，它可能还具有其它职责，如身份验证、监控、负载均衡、缓存等。API网关方式的核心要点是，所有的接入方和消费端都通过统一的网关接入微服务，在网关层处理所有的非业务功能。

发布了892 篇原创文章 · 获赞 2314 · 访问量 31万+