【微服务架构】如何使用SSO保护企业微服务架构

本文涉及的产品
云原生网关 MSE Higress,422元/月
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
注册配置 MSE Nacos/ZooKeeper,118元/月
简介: 什么是安全?这是一个重要方面,注意系统完整性的安全性。如果不考虑安全方面,它会传播风险,并可能容易受到其他网站、网络和其他It基础设施上的恶意软件攻击。

什么是安全?

这是一个重要方面,注意系统完整性的安全性。如果不考虑安全方面,它会传播风险,并可能容易受到其他网站、网络和其他It基础设施上的恶意软件攻击。

什么是SSO及其工作原理?

单点登录(SSO)是一种技术,它将多个不同的应用程序登录屏幕合并为一个。一旦您登录到特定系统,该声明登录令牌就可以在所有应用程序中共享,它们可以在其中定义信任。

身份验证和授权

身份验证:

是检查您是谁的过程。这是我们根据密码验证用户以识别此人的方式。

这方面有两种机制。

身份代理:

您可以通过社交登录实现登录。比如使用google/facebook/apple-like登录。

在这里,您单击任何社交链接,然后它将重定向到您的身份提供商,并提供用户名和密码,然后它会将令牌返回给Keyclock。现在,Keyclock可以使用特定的用户角色生成自己的令牌并将其返回。

身份联合:

在这里,Keyclok可以针对多个数据源验证用户。我们可以教Keyclok如何验证用户,以及在这个过程中应该涉及哪些数据源。它是可定制的。

授权:

它有两个方面。

  1. 说说你能做什么
  2. 告诉我你可以做什么
  • 当我们实施票证管理解决方案时,支持工程师可以读取用户的配置文件。他可能有配置文件读取权限,但不应该访问任何配置文件。必须有一些限制。只有当特定用户的支持票证分配给他时,他才能读取配置文件。这些是用户策略。
  • 因此,使用授权服务器实现和维护这些类型的策略有点困难。

让我们看看如何做到这些。

  • 所以通常我们创建用户,创建角色。让我们假设我们创建了一个用户管理服务。因此,我们必须确定用户管理可以做什么。
  • 它可以读取/写入/编辑/删除/列出用户。
  1. read表示您给出特定的用户id并获取该用户信息。
  2. 列表意味着您可以将所有用户作为列表获取。
  • 现在,假设我们创建了以上5个权限。现在,您将这些权限分配给特定角色,然后将该角色分配给特定用户。
  • 因此,如果用户属于特定角色,那么我们可以查看属于该角色的权限并应用该权限。
  • 所以用户登录到UI。当他们登录到UI时,它将重定向到身份验证服务器。
  • 假设我们在这里使用Keyclok(一种开源软件产品,允许使用身份和访问管理进行单点登录(SSO))。在实现Keyclok之后,用户将重定向到Keyclok。在这里,我将对用户进行身份验证。之后,该令牌将返回到UI,然后UI将提交其服务请求。
  • 当服务请求到来时,API网关将标识为用户正在尝试创建新用户。然后它将检查此令牌是否携带创建用户权限?如果是:它会让交通流进来

但问题是,该用户可以在哪个部门下创建新用户?

  • 因此,我们必须验证这一点。为此,我们可以使用策略管理解决方案。(我们可以使用OPA Open策略代理,这是一个流行的工具)

因此,当流量流动时,在创建新用户之前,我们联系OPA,要求该用户在部门d001上创建新用户。允许吗?这里OPA验证并返回true或false。

让我们看看另一个用例:

  • 假设支持工程师现在要读取用户的配置文件。因此,支持工程师属于具有读取用户配置文件权限的角色。当请求到达API网关时,它将允许请求流入服务,因为他具有用户读取权限。

那么现在,如果我们与OPA交谈,询问这位支持工程师是否有从这个特定用户分配的用于尝试读取配置文件的票证?如果是,OPA将返回true。否则为false。

Active directory:当用户已经登录到Active directory时,如果他们来到我们的应用程序,则UI转到Keyclock。然后,keyclock与active directory对话。active directory然后确保该用户已经登录。因此,keycloke将生成令牌。由于此过程,用户无需再次登录即可访问应用程序,我们称之为SSO(单点登录)。

当我们将这里讨论的所有这些东西放在一起并应用到系统中时,我们将能够为我们的应用程序构建更安全的身份验证和授权解决方案。

本文地址:https://architect.pub/1how-secure-enterprise-microservice-architecture-sso

Tags

相关文章
|
17天前
|
弹性计算 API 持续交付
后端服务架构的微服务化转型
本文旨在探讨后端服务从单体架构向微服务架构转型的过程,分析微服务架构的优势和面临的挑战。文章首先介绍单体架构的局限性,然后详细阐述微服务架构的核心概念及其在现代软件开发中的应用。通过对比两种架构,指出微服务化转型的必要性和实施策略。最后,讨论了微服务架构实施过程中可能遇到的问题及解决方案。
|
17天前
|
Java 开发者 微服务
从单体到微服务:如何借助 Spring Cloud 实现架构转型
**Spring Cloud** 是一套基于 Spring 框架的**微服务架构解决方案**,它提供了一系列的工具和组件,帮助开发者快速构建分布式系统,尤其是微服务架构。
131 68
从单体到微服务:如何借助 Spring Cloud 实现架构转型
|
16天前
|
运维 监控 持续交付
微服务架构解析:跨越传统架构的技术革命
微服务架构(Microservices Architecture)是一种软件架构风格,它将一个大型的单体应用拆分为多个小而独立的服务,每个服务都可以独立开发、部署和扩展。
140 36
微服务架构解析:跨越传统架构的技术革命
|
3天前
|
NoSQL 前端开发 测试技术
👀探秘微服务:从零开启网关 SSO 服务搭建之旅
单点登录(Single Sign-On,简称SSO)是一种认证机制,它允许用户只需一次登录就可以访问多个应用程序或系统。本文结合网关和SaToken快速搭建可用的Session管理服务。
28 8
|
19天前
|
设计模式 负载均衡 监控
探索微服务架构下的API网关设计
在微服务的大潮中,API网关如同一座桥梁,连接着服务的提供者与消费者。本文将深入探讨API网关的核心功能、设计原则及实现策略,旨在为读者揭示如何构建一个高效、可靠的API网关。通过分析API网关在微服务架构中的作用和挑战,我们将了解到,一个优秀的API网关不仅要处理服务路由、负载均衡、认证授权等基础问题,还需考虑如何提升系统的可扩展性、安全性和可维护性。文章最后将提供实用的代码示例,帮助读者更好地理解和应用API网关的设计概念。
47 8
|
23天前
|
消息中间件 运维 Kubernetes
后端架构演进:从单体到微服务####
本文将探讨后端架构的演变过程,重点分析从传统的单体架构向现代微服务架构的转变。通过实际案例和理论解析,揭示这一转变背后的技术驱动力、挑战及最佳实践。文章还将讨论在采用微服务架构时需考虑的关键因素,包括服务划分、通信机制、数据管理以及部署策略,旨在为读者提供一个全面的架构转型视角。 ####
34 1
|
16天前
|
Cloud Native API 持续交付
云原生架构下的微服务治理策略与实践####
本文旨在探讨云原生环境下微服务架构的治理策略,通过分析当前面临的挑战,提出一系列实用的解决方案。我们将深入讨论如何利用容器化、服务网格(Service Mesh)等先进技术手段,提升微服务系统的可管理性、可扩展性和容错能力。此外,还将分享一些来自一线项目的经验教训,帮助读者更好地理解和应用这些理论到实际工作中去。 ####
34 0
|
24天前
|
负载均衡 Java 持续交付
深入解析微服务架构中的服务发现与负载均衡
深入解析微服务架构中的服务发现与负载均衡
58 0
|
1月前
|
设计模式 Java API
微服务架构演变与架构设计深度解析
【11月更文挑战第14天】在当今的IT行业中,微服务架构已经成为构建大型、复杂系统的重要范式。本文将从微服务架构的背景、业务场景、功能点、底层原理、实战、设计模式等多个方面进行深度解析,并结合京东电商的案例,探讨微服务架构在实际应用中的实施与效果。
123 6
|
1月前
|
设计模式 Java API
微服务架构演变与架构设计深度解析
【11月更文挑战第14天】在当今的IT行业中,微服务架构已经成为构建大型、复杂系统的重要范式。本文将从微服务架构的背景、业务场景、功能点、底层原理、实战、设计模式等多个方面进行深度解析,并结合京东电商的案例,探讨微服务架构在实际应用中的实施与效果。
48 1