Стратегія аутентифікації мікросервісу

Мені важко вибирати гідну / безпечну стратегію аутентифікації для архітектури мікросервісу. Єдине повідомлення про те, що я знайшов у цій темі, це: Єдиний вхід у архітектуру мікросервісів

Моя ідея тут полягає у тому, щоб у кожній службі (наприклад, аутентифікація, обмін повідомленнями, повідомлення, профіль тощо) мати унікальну посилання на кожного користувача (цілком логічно, ніж його user_id) та можливість отримати поточного користувача, idякщо він увійшов.

З моїх досліджень я бачу дві можливі стратегії:

1. Спільна архітектура

У цій стратегії додаток для аутентифікації є однією з інших послуг. Але кожен сервіс повинен бути в змозі зробити перетворення session_id=> user_idтому він повинен бути мертвим простим. Ось чому я подумав про Redis, який би зберігав ключ: value session_id:user_id.

2. Архітектура брандмауера

У цій стратегії зберігання сеансу насправді не має значення, оскільки ним керує лише програма аутентифікації. Тоді user_idбалон можна переадресувати на інші служби. Я подумав про Rails + Devise (+ Redis або mem-cached, або зберігання файлів cookie тощо), але є багато можливостей. Важливо лише те, що Service X ніколи не потребуватиме автентифікацію користувача.

Як порівняти ці два рішення щодо:

• безпека
• стійкість
• масштабованість
• простота використання

А може, ви запропонуєте інше рішення, про яке я тут не згадував?

Мені подобається рішення №1 краще, але я не знайшов особливої ​​реалізації за замовчуванням, який би забезпечив мене тим, що я йду в правильному напрямку.

Я сподіваюся, що моє питання не закриється. Я не знаю, де ще це запитати.

Спасибі заздалегідь

Виходячи з того, що я розумію, хороший спосіб вирішити це за допомогою протоколу OAuth 2 (ви можете знайти трохи більше інформації про це на http://oauth.net/2/ )

Коли ваш користувач увійде у вашу програму, він отримає маркер, і за допомогою цього маркера вони зможуть надіслати інші служби, щоб ідентифікувати їх у запиті.

Приклад дизайну ланцюга мікросервісу

Ресурси:

• http://presos.dsyer.com/decks/microservice-security.html
• https://github.com/intridea/oauth2
• https://spring.io/guides/tutorials/spring-security-and-angular-js/

Коротка відповідь: Використовуйте аутентифікацію на основі лексеми Oauth2.0, яку можна використовувати в будь-якому типі додатків, таких як веб-версія або мобільний додаток. Потім послідовність кроків для веб-програми буде виконана

1. аутентифікуватися проти постачальника ідентифікаторів
2. зберігати маркер доступу у файлі cookie
3. доступ до сторінок у веб-сайті
4. зателефонуйте до служб

На схемі нижче зображені компоненти, які були б необхідні. Така архітектура, що розділяє Інтернет та apis даних, дасть хорошу масштабованість, стійкість та стабільність

Для його реалізації слід використовувати схему шлюзу API, використовуючи OpenID Connect. Користувач отримає автентифікацію IDP та отримає маркер JWT від сервера авторизації. Тепер система шлюзу API може зберігати цей маркер у базі даних Redis та встановлювати файли cookie у браузері. Шлюз API використовуватиме файли cookie для підтвердження запиту користувача та надсилатиме маркер до мікросервісів.

Шлюз API є єдиною точкою входу для всіх типів клієнтських додатків, таких як загальнодоступний клієнтський сценарій Java, традиційний веб-додаток, нативний мобільний додаток та сторонні клієнтські програми в архітектурі мікросервісу.

Більш детальну інформацію про нього можна знайти на http://proficientblog.com/microservices-security/

ви можете використовувати сервер idenitty 4 для автентифікації та авторизації

ви повинні використовувати архітектуру брандмауера, отже, ви маєте більше контролю над безпекою, надійністю, масштабованістю та простотою використання