【Dubbo3高级特性】「提升系统安全性」手把手教你如何通过令牌进行Dubbo3服务验证及服务鉴权控制实战指南(一)

简介: 【Dubbo3高级特性】「提升系统安全性」手把手教你如何通过令牌进行Dubbo3服务验证及服务鉴权控制实战指南

系列文章目录

如果你看到了这里,那么接下来你将会认识Dubbo3的诞生将如何引领微服务领域更进一步,从而迈入云原生的领域,这当然不仅仅是Dubbo3,之前也介绍了Java生态另外一个云原生领域的技术Quarkus等技术,而本文内容侧重点去介绍Dubbo3迈向云原生 的技术分析和探索,如果有不正确的地方,还需要大家多多指正。


通过令牌进行服务验证

令牌Token的验证方式主要通过客户端和服务端的令牌验证定义并且通过注册中心层面进行维护和存储和管理的实现机制

使用场景

在一定程度上实现客户端和服务端的可信鉴权,避免任意客户端都可以访问,降低出现安全问题的风险。

主要原理

通过令牌验证在注册中心控制权限,以决定要不要下发令牌给消费者, 可以防止消费者绕过注册中心访问提供者, 另外通过注册中心可灵活改变授权方式,而不需修改或升级提供者。如下图所示。



运作流程和实现原理

服务提供者

  1. 创建对应的令牌Token,通过我们定义的对应token配置,进行读取的参数信息从而进行相关的Generate Token。


注册中心

  1. 接收到了服务提供者传递上报过来的token值,作为该对应服务接口或者整个服务提供者的token值进行管理维护。


  1. 针对于相关的传递过来的token值进行校验和核对工作之后,没有问题则会进行存储到注册中心。


服务消费者

  1. 服务消费者可以从注册中心上面获取token令牌值



  1. 服务消费者会将获取到的token数据值,伴随着调用接口的同时传递给服务提供者。



服务提供者

  1. 服务提供者接收到了对应的服务消费者传递过来的token数据值,进行校验和核对是否属于我们认可的token值,从而实现了控制制定我们服务体系内部的消费者的调用请求。如果不一致则直接会返回失败。



配置方式(服务提供者)

配置对应的token值的范围有几种方式,我们常用的token配置主要有服务级别和接口级别等。

令牌验证,为空表示不开启,如果为true,表示随机生成动态令牌,否则使用静态令牌,令牌的作用是防止消费者绕过注册中心直接访问,保证注册中心的授权功能有效,如果使用点对点调用,需关闭令牌功能

服务级别

可以设置对应的整个服务应用级别的配置,但是优先级会被接口级别的覆盖,可以作为全局的默认值所使用。

随机token令牌,使用UUID生成

该参数接收两种类型值:boolean类型-True则生成UUID随机令牌,若为String则自定义令牌。

xml配置模式进行控制

xml

复制代码

<dubbo:provider token="true" />
SpringBoot的配置模式进行控制

使用 Spring Boot 减少非必要配置,结合 Annotation 与 application.properties/application.yml 开发 Dubbo 应用

properties

复制代码

dubbo.provider.token=true

或者

yaml

复制代码

dubbo:
 provider:
  token: true

使用这种方式的安全级别好一些,因为每次生产的都是uuid,无规律话,不容易被第三方客户端进行破解从而进行调用。

固定token令牌,相当于密码

定义了全局provider的token数据uuid模式,对所有的接口和服务实现均起作用!定义了全局provider的token数据-123456,对所有的接口和服务实现均起作用!

xml配置模式进行控制

xml

复制代码

<dubbo:provider token="123456" />
SpringBoot的配置模式进行控制

properties

复制代码

dubbo.provider.token=123456

或者

yaml

复制代码

dubbo:
 provider:
  token: 123456

接口类级别

随机token令牌,使用UUID生成

实现方式和效果与服务级别相同。

xml

复制代码

<dubbo:service interface="com.xxx.TestService" token="true" />

或者可以采用@DubboService注解中的token属性进行标识。

定义了该service接口的token数据,对该接口的所有方法实现均起作用!

固定token令牌,相当于密码

xml

复制代码

<dubbo:service interface="com.xxx.TestService" token="123456" />

或者可以采用@DubboService注解中的token属性进行标识。

定义了该service接口的token数据,对该接口的所有方法实现均起作用!

配置方式(服务消费者)

Dubbo官方并未直接暴漏对应的对于消费者端的DubboReference或者ReferenceConfig上配置token,但是通过源码可以知道,Dubbo采用隐式参数传递token,通过attachment进行携带进行传输。

java

复制代码

RpcContext.getContext().setAttachment("token","123456"):
注意要点
  • token的配置也可以在,协议级别,使用的spring boot的starter配置中未找到协议级别如何配置。
  • 配置Token的生产者的服务,只会允许消费者通过注册中心注册后,才可以获取到对应的token数据,再消费的数据才能够访问,否则会出现出现无效token的错误。
  • 由上面的介绍,数据token是由注册中心下发拉取到的。

实际案例

建立API接口

java

复制代码

public interface CommonRpcApi {
    RpcResponse<Boolean> tokenAuth(RpcRequest<String> requestParam);
}

建立服务端的案例

java

复制代码

@DubboService(token = "token")
public class DefaultCommonRpcApi implements CommonRpcApi {
    @Override
    public RpcResponse<Boolean> tokenAuth(RpcRequest<String> requestParam) {
        return RpcResponse.success();
    }
}

建立消费端的案例

注册中心模式进行调用

java

复制代码

@DubboReference
    CommonRpcApi commonRpcApi;
    @GetMapping("/token")
    public ResponseEntity<RpcResponse<String>> doTokenAuth(){
        return ResponseEntity.ok(commonRpcApi.tokenAuth(new RpcRequest(RpcContext.getContext().getAttachment("token"))));
    }

验证结果没有任何问题和错误异常。

直连模式进行调用

模拟非注册中心过来的外部rpc调用,用于校验token不同或者不进行token鉴权的场景!

java

复制代码

@DubboReference(url = "dubbo://${dubbo.address:localhost}:28081")
    CommonRpcApi commonRpcApi;
    @GetMapping("/token")
    public ResponseEntity<RpcResponse<String>> doTokenAuth(){
        return ResponseEntity.ok(commonRpcApi.tokenAuth(new RpcRequest(RpcContext.getContext().getAttachment("token"))));
    }
出现了报错!

kotlin

复制代码

org.apache.dubbo.rpc.RpcException: Invalid token! Forbid invoke remote service interface com.dubbo.shopping.api.oss.CommonRpcApi method tokenAuth() from consumer 192.168.1.104 to provider 192.168.1.104, consumer incorrect token is null
consumer incorrect token is null

出现了不一致的问题在,当存在这种场景我们很难捕捉到对应的uuid模式的token值,那么我们可以指定token值进行测试效果。

建立服务端的案例2

java

复制代码

@DubboService(token = "123456")
public class DefaultCommonRpcApi implements CommonRpcApi {
    @Override
    public RpcResponse<Boolean> tokenAuth(RpcRequest<String> requestParam) {
        return RpcResponse.success();
    }
}
直连模式进行调用

我们手动注入token进行控制校验模式

java

复制代码

@DubboReference(url = "dubbo://${dubbo.address:localhost}:28081")
    CommonRpcApi commonRpcApi;
    @GetMapping("/token")
    public ResponseEntity<RpcResponse<String>> doTokenAuth(){
        RpcContext.getContext().setAttachment("token","123456");
        return ResponseEntity.ok(commonRpcApi.tokenAuth(new RpcRequest(RpcContext.getContext().getAttachment("token"))));
    }

发现调用结果又变的正常了!


通过服务鉴权控制调用

基于上面的【通过令牌进行服务验证】的控制实现,对于安全性而言还是缺乏了机动性、可配置、灵活性等。所以接下来引入通过了【服务鉴权控制】从而增加安全性和机动性以及可配置化等功能实现。

服务鉴权-特性说明

Dubbo3服务鉴权类似支付之类的对安全性敏感的业务可能会有限制匿名调用的需求。在加固安全性方面,2.7.5引入了基于AK/SK机制的认证鉴权机制,并且引入了鉴权服务中。

鉴权服务中心

主要原理是消费端在请求需要鉴权的服务时,会通过SK、请求元数据、时间戳、参数等信息来生成对应的请求签名,通过Dubbo3的Attachment机制携带到对端进行验签,验签通过才进行业务逻辑处理。如下图所示:



总体流程图



使用场景

针对于调用方进行相关的服务调用鉴权

使用方式
接入方式
  1. 使用者需要在微服务站点上填写自己的应用信息,并为该应用生成唯一的证书凭证。
  2. 在管理站点上提交工单,申请某个敏感业务服务的使用权限,并由对应业务管理者进行审批,审批通过之后,会生成对应的 AK/SK到鉴权服务中心。
  3. 导入该证书到对应的应用下,并且进行配置。配置方式也十分简单,以注解方式为例:


【Dubbo3高级特性】「提升系统安全性」手把手教你如何通过令牌进行Dubbo3服务验证及服务鉴权控制实战指南(二)https://developer.aliyun.com/article/1470990



相关文章
|
1月前
|
XML Dubbo Java
【Dubbo3高级特性】「框架与服务」服务的异步调用实践以及开发模式
【Dubbo3高级特性】「框架与服务」服务的异步调用实践以及开发模式
46 0
|
1月前
|
SpringCloudAlibaba 负载均衡 Dubbo
SpringCloudAlibaba:3.2dubbo的高级特性
SpringCloudAlibaba:3.2dubbo的高级特性
30 1
|
1月前
|
XML Dubbo Java
【Dubbo3高级特性】「框架与服务」 Nacos作为注册中心-服务分组及服务分组聚合实现
【Dubbo3高级特性】「框架与服务」 Nacos作为注册中心-服务分组及服务分组聚合实现
75 0
|
1月前
|
Cloud Native Dubbo 应用服务中间件
【Dubbo3高级特性】「微服务云原生架构」带你从零基础认识搭建公司内部服务用户中心体系(实战指南-序章)
【Dubbo3高级特性】「微服务云原生架构」带你从零基础认识搭建公司内部服务用户中心体系(实战指南-序章)
75 0
|
1月前
|
Dubbo Java 应用服务中间件
微服务学习 | Springboot整合Dubbo+Nacos实现RPC调用
微服务学习 | Springboot整合Dubbo+Nacos实现RPC调用
|
7月前
|
负载均衡 Dubbo 应用服务中间件
微服务技术系列教程(31) - Dubbo-原理及负载均衡分析
微服务技术系列教程(31) - Dubbo-原理及负载均衡分析
60 0
|
7月前
|
Dubbo Java 应用服务中间件
微服务技术系列教程(30) - Dubbo-SpringCloud与Dubbo区别
微服务技术系列教程(30) - Dubbo-SpringCloud与Dubbo区别
51 0
|
1月前
|
Dubbo Java 应用服务中间件
阿里巴巴资深架构师深度解析微服务架构设计之SpringCloud+Dubbo
软件架构是一个包含各种组织的系统组织,这些组件包括Web服务器,应用服务器,数据库,存储,通讯层),它们彼此或和环境存在关系。系统架构的目标是解决利益相关者的关注点。
|
23天前
|
Dubbo Cloud Native 应用服务中间件
【阿里云云原生专栏】云原生环境下的微服务治理:阿里云 Dubbo 与 Nacos 的深度整合
【5月更文挑战第25天】阿里云Dubbo和Nacos提供微服务治理的强大工具,整合后实现灵活高效的治理。Dubbo是高性能RPC框架,Nacos则负责服务发现和配置管理。整合示例显示,通过Nacos注册中心,服务能便捷注册发现,动态管理配置。简化部署,提升适应性,但也需注意服务稳定性和策略规划。这种整合为云原生环境的微服务架构带来强大支持,未来应用前景广阔。
214 2
|
1月前
|
Dubbo Java 应用服务中间件
Spring Cloud Dubbo: 微服务通信的高效解决方案
【4月更文挑战第28天】在微服务架构的发展中,服务间的高效通信至关重要。Spring Cloud Dubbo 提供了一种基于 RPC 的通信方式,使得服务间的调用就像本地方法调用一样简单。本篇博客将探讨 Spring Cloud Dubbo 的核心概念,并通过具体实例展示其在项目中的实战应用。
30 2