基于微服务API级权限的技术架构

一般而言,企业内部一套成熟的权限系统,都是基于角色(Role)的 访问控制方法(RBAC – Role Based Access Control),即权限 (Permission)与角色相关联,用户(User)通过成为适当角色的成员而得到这 些角色的权限,权限包含资源(或者与操作组合方式相结合),最终实现权限控制 的目的。

背景

权限系统是根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。

一般而言,企业内部一套成熟的权限系统,都是基于角色(Role)的访问控制方法(RBAC – Role Based Access Control),即权限(Permission)与角色相关联,用户(User)通过成为适当角色的成员而得到这些角色的权限,权限包含资源(或者与操作组合方式相结合),最终实现权限控制的目的。

一言以蔽之,基于角色的访问控制方法的访问逻辑表达式为“Who对What(Which)进行How的操作”,它的由内到外的逻辑结构为权限->角色->用户,即一个角色对应绑定多个权限,一个用户对应绑定多个角色,这也是秦苍基础架构部对于公共权限服务实现的基本指导思想。

权限服务与基础架构部其他公共服务的关系图

一.API权限定义、入库和拦截

对于API权限,我们实行基于注解(Annotation)的扫描入库和拦截,不需要业务服务自行在界面上录入

1、权限定义

API权限以每个接口或者实现类中的方法作为权限资源,每个权限和微服务名(Service Name)挂钩。

我们通过在业务服务的API上添加注解的方式,进行权限定义。基础架构部会提供一个权限组件(Permission Component)Jar给业务服务部门,里面包含了自定义的注解,这样的实现方式,对业务服务的影响非常小,增加权限机制只是在代码层面加几个注解而已。具体使用方式如下

对于一个普通的接口类,我们可以这样定义:


1

2

3

4

5

6

7

8


@Group(name = "User Permission Group", label = "用户权限组", description = "用户权限组")

public interface UserService {

    @Permission(name = "Add User", label = "添加用户")

    boolean addUser(@UserId String userId, User user);

 

    @Permission(name = "Delete User", label = "删除用户", description = "删除用户")

    boolean deleteUser(@UserId String userId, User user);

}

对于通过Swagger方式暴露出去的API,我们可以这样定义:


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16


@Path("/user")

@Consumes(MediaType.APPLICATION_JSON)

@Produces(MediaType.APPLICATION_JSON)

@Api(value = "User resource operations")

@Group(name = "User Permission Group", label = "用户权限组", description = "用户权限组")

public interface UserService {

    @GET

    @Path("/addUser/{userId}")

    @Permission(name = "Add User", label = "添加用户")

    boolean addUser(@PathParam("userId") @UserId String userId, User user);

 

    @POST

    @Path("/deleteUser/{userId}")

    @Permission(name = "Delete User", label = "删除用户", description = "删除用户")

    boolean deleteUser(@PathParam("userId") @UserId String userId, User user);

}

在上述简短的代码中,我们可以发现有三个自定义的注解,@Group、@Permission和@UserId。

  • @Permission,即为每个API(接口方法)定义一个权限,要求有name(英文格式),label(中文格式)和description(权限描述)

    • @Group,即定义的权限归属哪个权限组,考虑到一个接口中包含很多个API,接口数目又比较多,那么我们可以为每个接口下的所有方法归为一个组。业务服务可自行定义权限组,也可以选择不定义,那么会归属到默认预定义的权限组中
  • l@UserId,即业务服务需要在他们的API上加入用户ID的参数,当AOP切面拦截做权限验证时候,用户ID是需要传入的必要参数

2、权限入库和拦截

当API权限定义好以后,我们在权限组件里面加入扫描权限入库和拦截的算法。采用Spring AutoProxy自动代理的框架来实现我们的扫描算法。

2.1 创建PermissionInterceptor.java继承org.aopalliance.intercept.MethodInterceptor,步骤如下

  • 实现Object invoke(MethodInvocation invocation)方法,获取注解值
  • 根据不同注解进行不同的切面拦截,实现对@Group,@Permission和@UserId三个注解的权限拦截逻辑

2.2 创建PermissionAutoProxy.java继承Spring的org.springframework.aop.framework.autoproxy.AbstractAutoProxyCreator类,步骤如下

  • 在构造方法里设置好Interceptor通用代理器(即实现了MethodInterceptor接口的拦截类PermissionInterceptor.java)
  • shouldProxyTargetClass用来决定是接口代理,还是类代理。在权限定义的时候,其实我们还支持把注解加在实现类上,而不仅仅在接口上,这样灵活运用注解放置的方式-
  • getAdvicesAndAdvisorsForBean是最核心的方法,用来决定哪个类、哪个方法上的注解要被扫描入库,也决定哪个类、哪个方法要被代理。如果我们做的更加通用一点,那么可以抽象出三个方法,供getAdvicesAndAdvisorsForBean调用

1

2

3

4

5

6

7

8


// 返回拦截类,拦截类必须实现MethodInterceptor接口,即PermissionInterceptor

protected abstract Class<? extends MethodInterceptor> getInterceptorClass();

 

// 返回接口或者类的方法名上的注解,如果接口或者类中方法名上存在该注解,即认为该接口或者类需要被代理

protected abstract Class<? extends Annotation> getMethodAnnotationClass();

 

// 扫描到接口或者类的方法名上的注解后,所要做的处理

protected abstract void methodAnnotationScanned(Class<?> targetClass);

2.3 创建PermissionScanListener.java实现Spring的org.springframework.context.ApplicationListener.ApplicationListener接口,步骤如下

  • 在onApplicationEvent(ContextRefreshedEvent event)方法里实现入库代码
  • 在微服务的Spring容器启动的时候,将自动触发权限数据入库的事件

    通过上述阐述,我们就实现了权限的扫描入库和拦截

二、API权限所对应的角色(Role)管理

角色是一组API权限的汇总,每个角色也将和微服务名挂钩。角色组的作用是为了汇总和管理众多的角色

角色管理需要人工在界面上进行操作,角色管理分为角色组增删改查,以及每个角色组下的角色增删改查

三、 API权限所属的角色和用户(User)的绑定

权限不能直接和用户绑定,必须通过角色作为中间桥梁进行关联。那么我们要实现

  • 角色与权限的绑定,即一个角色和多个权限的关联
  • 用户与角色的绑定,即一个用户和多个角色的关联

角色和权限的绑定页面

 

用户和角色的绑定页面 </center

 

四、权限系统验证方式

1、API接入的验证方式

通过远程RPC方式的调用

1.1 扫描接入Permission组件的API Resource


1

2

3

4

5

6

7


@Configuration

@ComponentScan(basePackages = { "com.omniprimeinc.service.myservice " })

@Import({ com.omniprimeinc.commonservice.permission.api.config.Config.class,

com.omniprimeinc.commonservice.permission.annotations.config.Config.class })

public class Config {

 

}

1.2 通过API Resource去调用RPC接口获取验证结果


1

2

3

4

5

6

7

8

9


@Path("/authorization")

@Consumes(MediaType.APPLICATION_JSON)

@Produces(MediaType.APPLICATION_JSON)

@Api(value = "Authorization resource operations")

public interface AuthorizationResource {

@GET

@Path("/authorize/{userId}/{permissionName}/{serviceName}")

Boolean authorize(@PathParam("userId") String userId, @PathParam("permissionName") String permissionName, @PathParam("serviceName") String serviceName);

}

2、Rest调用的验证方式

http://host:port/authorization/authorize/{userId}/{permissionName}/{serviceName}

通过User ID、Permission Name(权限名,映射于对应的方法名)、Service Name(应用名)来判断是否被授权,返回结果是true或者false

五、权限服务和用户服务的整合

用户服务即整合了Ldap系统的用户和桥接业务用户系统

权限服务接入用户服务后,可以在权限授权页面上选取相应的用户进行权限授权

六、权限服务的安全控制

未来规划,服务之间的调用增加如下机制

  • 黑/白IP名单机制。当A服务调用B服务的时候,B服务会实现维护一个黑/白IP列表,表示B服务只允许在某个IP网段的A服务才能有权限调用B服务
  • 服务间约定的SecretKey。当A服务调用B服务的时候,两个服务之间实现实现约定API访问密钥,此密钥不能轻易泄密。这样就规避了B服务被模拟Rest请求调用(例如通过PostMan调用)
  • 服务的API签名。当A服务调用B服务的时候,A服务需要获得正确的B服务API的签名,才有权限去调用

http://blog.springcloud.cn/sc/mfw-jq/

 

时间: 2024-08-30 15:27:01

基于微服务API级权限的技术架构的相关文章

基于微服务和Docker容器技术的PaaS云平台架构设计

本文讲的是基于微服务和Docker容器技术的PaaS云平台架构设计[编者的话]在系统架构上,PaaS云平台主要分为微服务架构.Docker容器技术.DveOps三部分,这篇文章重点介绍微服务架构的实施. [3 天烧脑式容器存储网络训练营 | 深圳站]本次培训以容器存储和网络为主题,包括:Docker Plugin.Docker storage driver.Docker Volume Pulgin.Kubernetes Storage机制.容器网络实现原理和模型.Docker网络实现.网络插件.

基于微服务架构,实解容器级DevOps平台的建设

导读:本文以"实践过程中问题与思考"为主体,与大家分享其中的过程和经验,希望大家在后续的工作中能够避免相关问题,形成更佳实践. 首先简单说下我们要做什么,不谈理念,不谈哲学,我们要做一款基于微服务架构,可以同时运行在公有云和私有云上的容器云平台,以DevOps为目标,提升协作效率,快速交付. 为什么选择阿里云 现在的公有云如雨后春笋,国外如AWS.Azure.Bluemix,国内如阿里云.腾讯云.DaoCloud.goodrain等,都可以给大家提供丰富的云基础设施和上层服务,那为什么

基于微服务的分布式应用开发

本文讲的是基于微服务的分布式应用开发[编者的话]本文是有关使用微服务开发分布式应用的经验之谈,包括微服务的优势以及Spring Cloud框架的简要介绍等. 微服务架构设计模式对于单块设计模式而言有很多优点.核心思想就是将单个巨大的应用划分成互联的不同应用.与单块应用类似,每个微服务都有其自己的层级架构. 使用下列的模式,微服务可以轻易取得如下优点: 可扩展性. 一款典型的应用会使用3个方向的扩展.X轴扩展是指横向扩展应用,Y轴扩展是指划分不同的应用功能,Z轴扩展是指对于数据的分区(partio

中间件和微服务,Docker以及原生云架构的关系

微服务和Docker的发展势头 微服务和容器的主要目标是缩短软件开发时间,以及实现开发.部署以及运维的更大灵活性.为什么它过去几个月的发展势头这么猛?因为几乎所有科技巨头企业如亚马逊,谷歌,Facebook,Netflix都在这里激烈竞争. 微服务就像是一个面向服务的架构(SOA):这是一种架构和供应商技术分别独立的设计理念.因此,目前并没有明确的界定标准或规范.你永远需要在和其他人讨论之前定义你所理解的微服务术语.每个人都有不同的定义.在这篇文章中微服务是被开发,部署和独立缩放的服务.它们可以

唱吧DevOps的落地,微服务CI/CD的范本技术解读

1.业务架构:从单体式到微服务 K歌亭是唱吧的一条新业务线,旨在提供线下便捷的快餐式K歌方式,用户可以在一个电话亭大小的空间里完成K歌体验.K歌亭在客户端有VOD.微信和Web共三个交互入口,业务复杂度较高,如长连接池服务.用户系统服务.商户系统.增量更新服务.ERP等.对于服务端的稳定性要求也很高,因为K歌亭摆放地点不固定,很多场所的运营活动会造成突发流量. 为了快速开发上线,K歌亭项目最初采用的是传统的单体式架构,但是随着时间的推移,需求的迭代速度变得很快,代码冗余变多,经常会出现牵一发动全

唱吧DevOps的落地,微服务CI/CD的范本技术解读----最大的难点并不是实际业务代码的编写,而是服务的监控和调试以及容器的编排

1.业务架构:从单体式到微服务 K歌亭是唱吧的一条新业务线,旨在提供线下便捷的快餐式K歌方式,用户可以在一个电话亭大小的空间里完成K歌体验.K歌亭在客户端有VOD.微信和Web共三个交互入口,业务复杂度较高,如长连接池服务.用户系统服务.商户系统.增量更新服务.ERP等.对于服务端的稳定性要求也很高,因为K歌亭摆放地点不固定,很多场所的运营活动会造成突发流量. 为了快速开发上线,K歌亭项目最初采用的是传统的单体式架构,但是随着时间的推移,需求的迭代速度变得很快,代码冗余变多,经常会出现牵一发动全

基于微服务的软件架构模式

今天阅读了两篇关于微服务的文章,总结一些笔记,不敢贸然翻译:一是因为水平不够,翻译的过程会丢掉作者的原意:二是因为技术翻译是一个略微吃力不讨好的活. 微服务(micro services)这个概念不是新概念,很多公司已经在实践了,例如亚马逊.Google.FaceBook,Alibaba.微服务架构模式(Microservices Architecture Pattern)的目的是将大型的.复杂的.长期运行的应用程序构建为一组相互配合的服务,每个服务都可以很容易得局部改良. Micro这个词意味

认证鉴权与API权限控制在微服务架构中的设计与实现(一)

作者: [Aoho's Blog] 引言: 本文系<认证鉴权与API权限控制在微服务架构中的设计与实现>系列的第一篇,本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现. 1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求.微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限.尤其当访问来源不只是浏览器,还包括其他服务

亿级流量电商详情页系统实战:缓存架构+高可用服务架构+微服务架构

<缓存架构+高可用服务架构+微服务架构>深入讲解了亿级流量电商详情页系统的完整大型架构.同时最重要的是,在完全真实的大型电商详情页系统架构下,全流程实战了整套微服务架构,包含了基于领域驱动设计进行微服务建模.Spring Cloud.基于DevOps的持续交付流水线与自动化测试套件.基于Docker的自动化部署.此外,还包含了大型电商详情页系统架构中的多种复杂架构设计的详细介绍. <亿级流量电商详情页系统实战(第一版)>的内容,主要是基于简化以后的大型电商详情页系统的背景,重点包含