使用Spring的微服务授权

Question

以下是一个示例体系结构。

• 用户经由API网关
• API网关进行认证的所有请求
• 弹簧会话复制http会话到微服务“A”和“B”访问微服务“A”和“B”。
• 微服务“C”访问微服务“A”，没有任何安全检查。

什么是提供浏览器和微服务之间的授权检查的最佳途径？该解决方案需要解决微服务“C”没有关联的“会话”/角色。

具体来说：

• 如何能方法级授权工作[即。 @PreAuthorize]当微服务“C”没有用户？
• 将所有授权检查放入API网关并将所有内部微服务通信置于无保护状态是否有意义？

Answer 1

对于来自'C'的请求使用OAuth或JWT怎么样？服务A只需要另一个身份验证提供程序（我假定您已经有一个来自API网关的请求）来验证该令牌。然后，可以包含权限或提供信息来根据令牌中的其他信息查找权限。这将允许您保留方法级别的身份验证注释。

Answer 2

OAUTH2.0是最好的解决方案。

请找到教程

https://spring.io/guides/tutorials/spring-boot-oauth2/

https://projects.spring.io/spring-security-oauth/docs/oauth2.html

http://websystique.com/spring-security/secure-spring-rest-api-using-oauth2/

Answer 3

API网关可以设置在头部的X身份验证令牌与httpsessionheaderStrategy名单。 ，然后每个服务都可以有一个GenericFilter来根据场景设置认证上下文。

Answer 4

只需要授权检查，而不是验证，因为没有最终用户参与，这是一个B2B案例。 在这种情况下，您需要使用客户端证书OAuth2流程。 您可以在http://proficientblog.com/microservices-security/