前言：本站為你精心整理了微服務(wù)認證授權(quán)方案分析范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

信息化的高速發(fā)展推動了計算機應(yīng)用架構(gòu)的迭代演進，傳統(tǒng)單體應(yīng)用項目的認證與授權(quán)方式已不適用于基于微服務(wù)架構(gòu)的系統(tǒng)應(yīng)用。本文提出了一種微服務(wù)架構(gòu)下的認證授權(quán)方案，基于ApacheShrio整合Oauth2.0協(xié)議，實現(xiàn)獨立的微服務(wù)認證與授權(quán)中心；整合JWT作為認證令牌，增強系統(tǒng)的安全性、易用性。對于原有項目升級改造以及微服務(wù)應(yīng)用構(gòu)建開發(fā)均具備一定的參考價值。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展、應(yīng)用規(guī)模的不斷擴大，以及應(yīng)用場景的日趨復(fù)雜化，計算機應(yīng)用架構(gòu)也在不斷演變，逐漸從單體應(yīng)用架構(gòu)演化出了微服務(wù)架構(gòu)等更加有利于資源匹配的架構(gòu)形式。隨之產(chǎn)生的問題是單體架構(gòu)中的認證授權(quán)機制不能直接應(yīng)用到微服務(wù)架構(gòu)中，需要重新設(shè)計一種認證授權(quán)方案，使其符合微服務(wù)無狀態(tài)、資源分散、技術(shù)多樣性等特點。ApacheShrio作為單體應(yīng)用中的主流安全框架，是一個強大易用的Java安全框架，提供了認證、授權(quán)、加密和會話管理等功能，可以為任何應(yīng)用提供安全保障[1]。Shiro提供的接口使其具有靈活的擴展能力，具備擴展為微服務(wù)架構(gòu)安全框架的可能性。Oauth2.0協(xié)議的出現(xiàn)則為開發(fā)人員提供了一整套適用于微服務(wù)架構(gòu)的認證授權(quán)開發(fā)標(biāo)準(zhǔn)。本文基于上述技術(shù)，研究了單體項目和微服務(wù)認證授權(quán)的機制，提出一種微服務(wù)架構(gòu)下的認證與授權(quán)方案。

1技術(shù)路線

1.1微服務(wù)微服務(wù)是一種軟件架構(gòu)方案，通常由一組職責(zé)單一、具備自治性的獨立服務(wù)組成。服務(wù)之間由服務(wù)注冊、服務(wù)發(fā)現(xiàn)、網(wǎng)關(guān)、鏈路追蹤、熔斷機制等技術(shù)進行管理、維護。相較于單體項目，微服務(wù)架構(gòu)具備以下優(yōu)勢：（1）彈性配置。微服務(wù)之間通過一些輕量級的通信機制進行通信，由于服務(wù)本身及網(wǎng)絡(luò)情況的不確定性，通信間的交互可能出現(xiàn)故障。由于微服務(wù)架構(gòu)中的服務(wù)通常具備獨立職責(zé)且結(jié)構(gòu)完整，而微服務(wù)應(yīng)用程序的彈性也主要取決于微服務(wù)通信的可靠性。因此微服務(wù)提供了許多機制來保證微服務(wù)應(yīng)用程序的彈性，其中包括超時、重試、斷路器、快速故障、隔板、事務(wù)、負載平衡，故障轉(zhuǎn)移和保證的交付等。（2）獨立擴展。在傳統(tǒng)單體項目中，對單一服務(wù)進行拓展時，由于系統(tǒng)間的服務(wù)耦合度高，導(dǎo)致系統(tǒng)整體也會受到影響。而微服務(wù)體系是由一組相對獨立的服務(wù)組成，可以指向性地針對特定服務(wù)進行單獨擴展，這樣就能根據(jù)實際需求合理分配資源到不同的服務(wù)中去，從而達到最佳的性能效果。（3）簡化部署。單體項目改版發(fā)布的難度隨其代碼規(guī)模的增長而增長，任何變動都需要整個項目重新部署。對于大體量項目來說，項目的重新部署以及處理可能產(chǎn)生的BUG都需要很高的成本，且具有很高的風(fēng)險度。微服務(wù)由于互相之間相對獨立，單一微服務(wù)體量小易部署，即使產(chǎn)生BUG，也能夠快速回滾到之前的穩(wěn)定版本進行部署，對當(dāng)前運行的其他程序影響不大。

1.2ApacheShiroApacheShiro是一種功能強大且易于使用的Java安全框架，它具有身份驗證、訪問授權(quán)、數(shù)據(jù)加密、會話管理等功能，可用于保護任何應(yīng)用程序的安全[2]。Shiro主要由3個組件構(gòu)成，分別為主體（Subject）、安全管理器（SecurityManager）和領(lǐng)域（Realm）。（1）主體。Subject是一個抽象概念，表示與程序交互的對象，是Shiro框架對外的核心對象。代表當(dāng)前“用戶”，“用戶”一次不一定指的是人，也可以是其他應(yīng)用程序、接口等。Subject作為對外接口，其中的交互操作實際都是由SecurityManager來完成。（2）安全管理器。SecurityManager是Shiro框架的核心組件。所有涉及系統(tǒng)安全的相關(guān)操作都會與SecurityManager進行交互，SecurityManager負責(zé)管理Shiro中的其他組件，協(xié)調(diào)各組件共同完成安全管理任務(wù)。（3）領(lǐng)域。Realm是安全信息數(shù)據(jù)源，內(nèi)部封裝了通用數(shù)據(jù)源鏈接，用于作為安全驗證的參考數(shù)據(jù)。當(dāng)進行授權(quán)、令牌獲取、令牌認證等操作時，Shiro通過配置的Realm查找相關(guān)的數(shù)據(jù)信息，Realm可以配置一個或多個。當(dāng)Shrio默認提供的Realm無法滿足需求時，可以自定義領(lǐng)域?qū)崿F(xiàn)，形成定制化數(shù)據(jù)源。

1.3JWTJsonWebToken(JWT)是一個基于RFC7519的信息傳遞協(xié)議，是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)[3]。JWT是由點符號連接的3個部分組成，分別為標(biāo)頭（Header）、載荷（Payload）和簽名（Signature），其中Header存儲了所使用的加密算法和Token類型；Payload是一個JSON對象，作為JWT的主體部分，官方規(guī)定了7個字段供開發(fā)者選用，也可以自定義字段和內(nèi)容；Signature是對前2個部分的簽名，作用是防止數(shù)據(jù)篡改。這3個部分分別單獨進行Base64編碼后使用點符號拼接成完整的JWT。相比傳統(tǒng)的Session認證方式，基于Token的認證方式更適用于移動端和分布式，且更節(jié)約計算資源，具備支持跨域訪問、無狀態(tài)、適用于CDN、無需考慮CSRF等特性。

1.4Oauth2.0OAuth2.0是一個授權(quán)第三方服務(wù)訪問Web項目的安全協(xié)議。OAuth2.0將第三方應(yīng)用與用戶的安全信息進行分隔，并且提供簡單、標(biāo)準(zhǔn)的實現(xiàn)方案來訪問應(yīng)用中受保護的資源。該協(xié)議具備開放、靈活、簡單、安全等特點。OAuth2.0采用無狀態(tài)的認證授權(quán)方式，以令牌作為安全信息的載體，適用于多服務(wù)獨立部署的微服務(wù)架構(gòu)。令牌基于Rest風(fēng)格的API在服務(wù)間進行傳遞。1.5ApacheOltuApacheOltu是OAuth2.0協(xié)議基于Java語言的實現(xiàn)，具有輕量、簡單、靈活等特點。ApacheOltu源碼包分為4個部分：（1）Issuer：生成授權(quán)碼和訪問令牌，刷新令牌；（2）Request：封裝授權(quán)碼請求和令牌請求的邏輯，并提供相應(yīng)的校驗服務(wù)；（3）Response：封裝授權(quán)流程中的響應(yīng)邏輯，提供生成不同響應(yīng)結(jié)果的方法；（4）Validator：為Request提供校驗服務(wù)。

2方案設(shè)計

（1）微服務(wù)入口處理。微服務(wù)架構(gòu)通常由API網(wǎng)關(guān)作為系統(tǒng)對外的唯一入口。因此網(wǎng)關(guān)可以整合令牌的初步認證。通過獲取請求中的令牌信息，并對信息進行解析、校驗等操作，實現(xiàn)身份認證以及部分授權(quán)功能。另外，網(wǎng)關(guān)需要設(shè)置白名單，即驗證碼、令牌獲取等請求不需要進行身份認證即可訪問。（2）獲取授權(quán)碼。當(dāng)外部應(yīng)用對服務(wù)發(fā)起授權(quán)碼請求時，網(wǎng)關(guān)通過判斷請求在白名單列表中，直接將請求轉(zhuǎn)發(fā)至認證中心。認證中心對用戶名密碼進行驗證，驗證通過后生成授權(quán)碼，并以重定向URL參數(shù)的形式返回給用戶。(3)令牌的選擇及獲取。方案采取無狀態(tài)認證授權(quán)方式，使用Token作為安全信息載體。為提高令牌的安全性、易用性、靈活性，采用JWT作為令牌實現(xiàn)。經(jīng)由網(wǎng)關(guān)白名單釋放的令牌獲取請求到達認證中心。認證中心對請求中攜帶的授權(quán)碼驗證，驗證通過后生成驗證碼。（4）資源授權(quán)。當(dāng)請求攜帶有效Token訪問服務(wù)時，網(wǎng)關(guān)通過對Token的解析，獲取身份信息及權(quán)限信息。并將信息重新加密后通過請求傳遞給資源中心，資源中心解密信息后，將信息存入安全上下文。資源中心根據(jù)上下文中的權(quán)限信息對請求進行授權(quán)并獲取資源，最終完成請求訪問流程。

3功能實現(xiàn)

網(wǎng)關(guān)整合令牌認證通過實現(xiàn)SpringCloudGateway的GlobalFilter實現(xiàn)對網(wǎng)關(guān)訪問請求的攔截，從中獲取令牌，并使用JWTStore進行解析，獲取權(quán)限信息及身份信息并進行身份認證。認證通過后，將安全信息編碼后添加到請求，通過FilterChain向后傳遞。4結(jié)語本文通過對ApacheShiro、JWT、微服務(wù)架構(gòu)等技術(shù)的介紹與分析，提出了一種基于ApacheShiro的微服務(wù)認證授權(quán)方案。方案在保留Shiro原有特性的前提下，實現(xiàn)了對微服務(wù)架構(gòu)的適配，具有高效率、高安全性、低耦合度、可擴展等特點。方案所實現(xiàn)的安全框架能夠完成認證授權(quán)在微服務(wù)架構(gòu)中的完全覆蓋，同時也保留了一定的靈活性，讀者可以根據(jù)實際情況調(diào)整安全框架的有效范圍，從而找到應(yīng)用整體的最佳運行效果。

引用

[1]時子慶,劉金蘭,譚曉華.基于OAuth2.0的認證授權(quán)技術(shù)[J].計算機系統(tǒng)應(yīng)用,2012,21(3):260-264.

[2]梁清華,胡安明.ApacheShiro框架在Web系統(tǒng)的安全應(yīng)用研究[J].電腦知識與技術(shù),2021,17(6):52-53.

[3]范展源,羅福強.JWT認證技術(shù)及其在WEB中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2016(2):114.

作者:林哲 單位:作者:單位: