Авторизация Microservice с использованием Spring

Question

Вот пример архитектуры.

• Пользователи получают доступ к microservices "A" и "B" с помощью API шлюза
• API-интерфейс Шлюз проверяет подлинность всех запросов
• весна-сессия тиражирует HTTP сеанс microservices "A" и "B".
• Microservice «C» получает доступ к микросервису «A» без каких-либо проверок безопасности.

Каковы наилучшие способы обеспечить проверку авторизации между браузером и microservices? Решение должно решить, что микросервис «C» не имеет связанной «сессии»/роли.

В частности:

• Как может работать авторизацию уровня метода [т.е.. @PreAuthorize], когда у микросервиса «С» нет пользователя?
• Имеет ли смысл проверять все проверки авторизации в шлюзе API, а вся межмикросервисная связь не защищена?

Answer 1

Как использовать OAuth или JWT для запросов от «C»? Сервис Просто нужен другой провайдер auth (я предполагаю, что у вас есть один уже для запросов, поступающих из шлюза API) для проверки токена. Затем он может содержать полномочия или предоставлять информацию для поиска авторитетов на основе другой информации в токене. Это позволит вам сохранить аннотации параметров уровня метода.

Answer 2

OAUTH2.0 - лучшее решение.

Вы можете найти список учебных пособий

https://spring.io/guides/tutorials/spring-boot-oauth2/

https://projects.spring.io/spring-security-oauth/docs/oauth2.html

http://websystique.com/spring-security/secure-spring-rest-api-using-oauth2/

Answer 3

API шлюз может установить х-AUTH-маркер в заголовках с httpsessionheaderStrategy. , и каждый сервис может иметь GenericFilter для установки контекста проверки подлинности в зависимости от сценария.

Answer 4

Требуется только проверка авторизации, а не аутентификация, потому что нет конечного пользователя, и это дело B2B. В этом случае вам необходимо использовать Client Credentials OAuth2. Более подробную информацию об этом можно найти на странице http://proficientblog.com/microservices-security/