《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(3)https://developer.aliyun.com/article/1554225
认证(Authentication)
认证作为一种安全机制,旨在验证发起访问请求者的身份真实性。它用于确保只有那些 经过身份验证的合法用户或实体才能访问受保护的资源或执行特定的操作。简而言之, 认证就是在资源或服务被访问之前回答“你是谁?”这个问题。
RocketMQ ACL 2.0 版本维持了与 ACL 1.0 相同的认证机制,即基于 AK/SK 的认证方式。这种方式主要通过对称加密技术来核验客户端的身份,保证敏感的认证信息(如 密码)不会在网络上明文传输,从而提升了整体的认证安全性。
主体模型
为了提升 RocketMQ 系统的访问控制和权限管理,ACL 2.0 针对主体模型做了以下改进和扩展:
- 统一主体模型的抽象:为了实现不同实体的访问控制和权限管理,设计了统一的主 体接口,允许系统中多个实例作为资源访问的主体。用户作为访问资源的主体之一, 按照该模型实现了主体的接口。这为未来新实体类型的权限适配提供了扩展能力。
- 角色分级与权限赋予:
- 超级用户:为了简化管理流程,超级用户被自动授予了全部权限,无需单独配 置,从而简化了系统的初始化和日常的运维管理工作。
- 普通用户:普通用户的权限则需要明确授权。ACL 2.0 提供了相关的权限管理工具,可以根据组织的政策和安全需求,为普通用户赋予合适的权限。
- 支持用户状态管理:为了应对可能出现的安全风险,比如用户密码泄露,ACL 2.0 提供了用户的启用与禁用功能。当发生安全事件,可以通过禁用用户状态,快速进行 止血,从而达到阻止非法访问的目的。
认证流程
《阿里云产品四月刊》—Apache RocketMQ ACL 2.0 全新升级(5)https://developer.aliyun.com/article/1554221