マイクロサービスモデルでは、サービス関係がより複雑になることがあり、各サービスは、個別のセキュリティ認証コードの重複を行う開発のサービスの速度が低下します、単一責任の原則及びその他の欠陥を満たしていない、通常のサービスゲートウェイ統一認証方法を行うように選択されます。私はいつものソリューションについてお話しましょう:
まず、ユーザサービスの開発は、ユーザ情報クラスタマイクロ管理サービスを専門。
第二に、マイクロサービスマイクロサービスのユーザ認証、ユーザ認証、許可およびその他の機能インターフェースマイクロ管理サービスを担当するユーザサービスとしてゲートウェイフロントエンドシステム。
第三には、バックエンドマイクロゲートウェイサービスの多くは、特定のビジネスのための唯一の責任があるユーザ認証と権限管理のための責任を負いません。
セキュリティレベル:
ここで私は3つのレベルに分かれていたサービス・インターフェースのセキュリティレベルを置きます:
ステートレスセキュリティレベル1
2システムIPレベルのセキュリティ(IPブラックとホワイトリストコントロール)
3ユーザーレベルのセキュリティ
ステートレスセキュリティレベルのインターフェイスは、任意の認証サービスを呼び出すことができる必要、または独自のセキュリティ証明書を提供するために、マイクロサービスプロバイダとのインタフェースはありません。
システムレベルのセキュリティIPサービスインタフェースは、IPゲートウェイを介してアクセスサービスへのブラックリストとホワイトリストを認定しなければなりません。
ユーザーレベルのセキュリティサービスインタフェースは、トークンまたはセッションアクセストークンを取得するために、サービスゲートウェイのシングルサインオン操作を呼び出す前に行われ、認証局サービス・インターフェースゲートウェイがバックエンドサービスにアクセスすることができます渡す必要があります。各サービスコールの後、アクセストークンでなければなりません。
最初の2つのサービスのインターフェイスのセキュリティレベルをよりよく理解され、安全な方法へのユーザーレベルのインタフェースについてはこちら言いました:
1トークンアクセスモードの使用
WebTokenの方法を使用して、#トークンの取得は、サーバがセッション状態の保存、呼び出し側は、非対称暗号化署名によって、署名後に発行されたトークンの呼び出し元に、顧客サービスゲートウェイの認証と認可を呼び出し、ユーザー名とパスワードを渡していません。
#外部システムへのゲートウェイ・サービス・コールは、アクセスがバックエンド・サービス・インターフェースによって検証した後に付与されている正当なものであるトークン認証され、サービス・インターフェース・ゲートウェイが選択できるかどうかをパススルー構成によるトークンのバックエンドへ。
#ゲートウェイは、トークンシーンユーザー情報を取得するために必要な二次またはバックエンドサービスの必要性を確認するために、公開鍵を配布するマイクロサーバ内の公開鍵が必要でトークンをチェックするバックエンドサービスへのインタフェースを提供します。
モード2は、セッショントークンを使用している場合
#発信者は、顧客サービスゲートウェイの認証と認可を呼び出し、ユーザー名とパスワードを渡し、メモリデータベースに格納されているユーザ情報トークンセッションを生成し、有効期限を設定し、その後、トークンシステム、呼び出し元に返されます。
#外部システムへのゲートウェイ・サービス・コールは、認証トークンが有効であり、バックエンド・インターフェースへのアクセスを許可することによって検証した後、有効期限が切れていない、ゲートウェイは、パススルーセッションは、バックエンド・サービス・インタフェースにトークンかを選択することができます。
#ゲートウェイインターフェイスに係るユーザ情報のトークンバックエンドサービスコールセッションにユーザーを取得するためのインターフェースと情報セッショントークンチェックを提供します。
拡張子:
サードパーティのシステムにマイクロクラスタユーザーの情報開示のサービスが必要な場合は、サードパーティのOAuth2登録モードを使用することができます。
#サードパーティのシステムレジストリなどのゲートウェイ、登録メンテナンス機能を提供するAPPID appsecret
ゲートウェイサーバとして発行#認可コードは、小切手および他の機能によって発行された認証コードを提供します
アクセストークンを提供のOAuth2アクセストークン管理サーバとして#ゲートウェイ、アクセストークンリフレッシュトークンサービスによって発行されました
#ゲートウェイは、サードパーティシステムにトークン取得インターフェースに基づいて、ユーザ情報を提供します
Ouath2の具体的なプログラムは、フォローアップ記事のコメントであることを
(終わり)