spring cloud Alibaba 微服务认证与授权学习笔记十

梦里梦外; 2022-12-24 15:50 256阅读 0赞

### 微服务认证与授权 ###

*  一、有状态VS无状态
 *  二、微服务认证方案
 *   *  1、处处安全方案：
     *  2、外部无状态、内部有状态方案（实际项目中，很多企业会使用）
     *  3、网关认证授权，内部裸奔方案
     *  4、内部裸奔改进方案
 *  三、访问控制模型（授权）
 *  四、JWT(json web token)
 *  五、认证代码实现
 *  六、授权代码实现

# 一、有状态VS无状态 #

1、有状态，如单体架构  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70]  
2、无状态，即服务器不去记录用户的登录状态，更直观讲，即服务器不再维护session  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 1]  
（1）对比有状态

*  为了获取session，所有的应用都要访问session store，若此服务器挂了，所有的应用都无法正常运行，鸡蛋又放到一个篮子里，与微服务相悖
 *  session store 服务器若要迁移，十分困难，将影响所有的应用使用
 *  session store 服务器若达到容量或性能瓶颈，都得想办法扩容  
    无状态，服务器端只做解密、校验，由客户端浏览器去存储  
    （2）无状态缺点
 *  一旦token颁发给用户，如给某个用户的token失效是7天，若想该用户失效，就难以实现；反观session，可以直接修改tomcat的过期时间

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 2]

# 二、微服务认证方案 #

## 1、处处安全方案： ##

[OAuth2实现单点登录SSO][OAuth2_SSO]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 3]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 4]  
优缺点总结：安全性好，实现的成本比较高，从业务流程即可看出，另外由于存在多出的token交换，以及多次认证，所以带来了性能的开销

## 2、外部无状态、内部有状态方案（实际项目中，很多企业会使用） ##

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 5]  
（1）概述：网关使用无状态，微服务应用使用有状态；初步一看，既没有用上session（有状态）的优点（无法控制用户），也没有用上无状态的有点（微服务都访问同一台session服务器），还比单存的有状态无状态方案复杂，简直就是吃力不讨好  
（2）使用场景：针对庞大复杂的系统，既有传统的架构，又有微服务架构，团队想要重构，即可采用此方案  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 6]

## 3、网关认证授权，内部裸奔方案 ##

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 7]  
网关解密token，放到HTTP 头部（header）进行转发，微服务拿到请求，就可以拿到用户信息  
优缺点：实现非常简单，性能很好；一旦网关认证被攻破，就是大写的尴尬了

## 4、内部裸奔改进方案 ##

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 8]  
概述：降低网关的复杂度，网关不再需要关注用户是谁这种业务强的东西了，不再去解密token，解析token，而只做转发，此次，提升了安全性，让系统避免了裸奔的尴尬，当然，这种方案也不是绝对的安全，由于token需要使用密钥解密，微服务越多，知道密钥的人也越多，泄密的风险也越大，再此方案，需要避免密钥泄露，可定期修改密钥，或者不然开发能够直接看到密钥本身

优缺点：实现不复杂，并且降低网关复杂度；缺点是一旦密钥泄露，就玩完了，但此问题可以解决，借助后边的配置管理，就可以实现

方案对比与选择  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 9]

# 三、访问控制模型（授权） #

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 10]  
主流使用模型：RABC模型  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 11]

# 四、JWT(json web token) #

1、定义：就是一个字符串，用base64对header、payload、signature进行加密并进行拼接  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 12]  
2、组成  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 13]  
注意：payload存放信息必须是非敏感信息  
3、公式  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 14][JWT操作工具类分享][JWT]

# 五、认证代码实现 #

① 登录逻辑：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 15]  
② 登录状态检查![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 16]  
③ feign传统token![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 17]

*  @RequestHeader示例  
    controller层接收头部X-token信息并传递给token  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 18]  
    feign客户端传出带X-token的头部信息  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 19]  
    service调用feign 客户端接口并传入token  
    ![在这里插入图片描述][20201206160007527.png]
 *  feign拦截器有两种设置，默认使用全局设置  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 20]  
    ④ RestTemplate传递token  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 21]
 *  exchange实例  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 22]
 *  拦截器全局配置  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 23]

# 六、授权代码实现 #

*  土方法：方法内部使用if…else…判断是否有权限
 *  spring aop

[@Retention注解作用][Retention]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70]: /images/20221120/01e11e1f1dbe4f84a44a52cd9d5d2241.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20201129125953620.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20201129130421316.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[OAuth2_SSO]: https://www.cnblogs.com/cjsblog/p/10548022.html
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/20201129130818953.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/20201129130835816.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 5]: https://img-blog.csdnimg.cn/20201129131622137.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 6]: https://img-blog.csdnimg.cn/20201129131922385.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 7]: https://img-blog.csdnimg.cn/20201129132247899.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 8]: https://img-blog.csdnimg.cn/20201129133316686.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 9]: https://img-blog.csdnimg.cn/20201129134100770.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 10]: https://img-blog.csdnimg.cn/20201130214837621.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 11]: https://img-blog.csdnimg.cn/20201130214903262.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 12]: https://img-blog.csdnimg.cn/20201130215057100.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 13]: https://img-blog.csdnimg.cn/20201130215109349.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 14]: https://img-blog.csdnimg.cn/20201130215418488.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[JWT]: http://www.imooc.com/article/290892
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 15]: https://img-blog.csdnimg.cn/20201205145859607.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 16]: https://img-blog.csdnimg.cn/20201206131215349.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 17]: https://img-blog.csdnimg.cn/20201206153824289.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 18]: https://img-blog.csdnimg.cn/20201206155922730.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 19]: https://img-blog.csdnimg.cn/20201206155947601.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[20201206160007527.png]: https://img-blog.csdnimg.cn/20201206160007527.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 20]: https://img-blog.csdnimg.cn/20201206154838485.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 21]: https://img-blog.csdnimg.cn/20201206155452977.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 22]: https://img-blog.csdnimg.cn/20201206155648712.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY_size_16_color_FFFFFF_t_70 23]: https://img-blog.csdnimg.cn/20201206161353854.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2x6ZjIyODQ0NjY=,size_16,color_FFFFFF,t_70
[Retention]: https://blog.csdn.net/m0_37840000/article/details/80921775