Mikro Hizmet Kimlik Doğrulama stratejisi

Bir mikro hizmet mimarisi için iyi / güvenli bir kimlik doğrulama stratejisi seçmekte zorlanıyorum. Bu konuda bulduğum tek SO yazı şudur: Mikro Hizmet Mimarisinde Tek Oturum Açma

Buradaki fikrim, her hizmette (örn. Kimlik doğrulama, mesajlaşma, bildirim, profil vb.) Her kullanıcı için benzersiz bir referans (oldukça mantıklı bir şekilde onun user_id) ve idoturum açmışsa geçerli kullanıcının alınabilmesi.

Araştırmalarımdan, iki olası strateji olduğunu görüyorum:

1. Paylaşılan mimari

Bu stratejide, kimlik doğrulama uygulaması diğerlerinin yanı sıra bir hizmettir. Ancak her hizmet, dönüşümü session_id=> yapabilmelidir, user_idböylece basit olmalıdır. Bu yüzden Redis'i düşündüm, bu anahtar: değeri saklardı session_id:user_id.

2. Güvenlik duvarı mimarisi

Bu stratejide, yalnızca kimlik doğrulama uygulaması tarafından işlendiği için oturum depolaması gerçekten önemli değildir. Sonra user_iddiğer hizmetlere iletilebilir. Rails + Devise (+ Redis veya mem-cached veya çerez depolama, vb.) Düşündüm ama tonlarca olasılık var. Önemli olan tek şey Service X'in kullanıcının kimliğini doğrulaması gerekmeyeceğidir.

Bu iki çözüm aşağıdakiler açısından nasıl karşılaştırılır:

• güvenlik
• sağlamlık
• ölçeklenebilirlik
• kullanım kolaylığı

Ya da belki burada bahsetmediğim başka bir çözüm önerirsiniz?

1 numaralı çözümü daha çok seviyorum ama doğru yönde gittiğimde beni güvence altına alacak çok fazla varsayılan uygulama bulamadım.

Umarım sorum kapanmaz. Başka nereden soracağımı gerçekten bilmiyorum.

Şimdiden teşekkürler

Anladığım kadarıyla, bunu çözmenin iyi bir yolu OAuth 2 protokolünü kullanmaktır ( http://oauth.net/2/ adresinde bu konuda biraz daha bilgi bulabilirsiniz )

Kullanıcı uygulamanızda oturum açtığında bir jeton alacak ve bu jetonla istekte tanımlamak için diğer hizmetlere gönderebilecekler.

Zincirli Mikro Hizmet Tasarımı Örneği

Kaynaklar:

• http://presos.dsyer.com/decks/microservice-security.html
• https://github.com/intridea/oauth2
• https://spring.io/guides/tutorials/spring-security-and-angular-js/

Kısa cevap: Bir webapp veya mobil uygulama gibi her türlü uygulamada kullanılabilen Oauth2.0 tür belirteci tabanlı kimlik doğrulamasını kullanın. Bir web uygulaması için gereken adımların sırası,

1. kimlik sağlayıcıya karşı kimlik doğrulaması
2. erişim kodunu çerezde tut
3. web uygulamasındaki sayfalara erişme
4. hizmetleri arayın

Aşağıdaki şemada ihtiyaç duyulacak bileşenler gösterilmektedir. Web ve veri apislerini ayıran böyle bir mimari, iyi bir ölçeklenebilirlik, esneklik ve kararlılık verecektir

Bunu OpenID Connect kullanarak uygulamak için API ağ geçidi deseni kullanılmalıdır. Kullanıcının kimliği IDP tarafından doğrulanacak ve JWT belirtecini yetkilendirme sunucusundan alacaktır. Artık API ağ geçidi sistemi bu belirteci Redis veritabanında saklayabilir ve çerezi tarayıcıda ayarlayabilir. API ağ geçidi, kullanıcı isteğini doğrulamak için çerezi kullanır ve jetonu Mikro hizmetlere gönderir.

API Ağ Geçidi, Microservice mimarisindeki genel java komut dosyası istemci uygulaması, geleneksel web uygulaması, yerel mobil uygulama ve üçüncü taraf istemci uygulamaları gibi her tür istemci uygulaması için tek bir giriş noktası görevi görür.

Bununla ilgili daha fazla bilgiyi http://proficientblog.com/microservices-security/ adresinde bulabilirsiniz.

kimlik doğrulama ve yetkilendirme amacıyla idenitty server 4'ü kullanabilirsiniz

Güvenlik Duvarı Mimarisini kullanmanız gerekir, bu nedenle güvenlik, sağlamlık, ölçeklenebilirlik ve kullanım kolaylığı üzerinde daha fazla kontrole sahip olursunuz