用户鉴权

百科

• 用户鉴权，一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法。用于用户登陆到DSMP或使用数据业务时，业务网关或Portal发送此消息到DSMP，对该用户使用数据业务的合法性和有效性（状态是否为激活）进行检查。
• 用于用户登陆到DSMP或使用数据业务的时候，业务网关或Portal发送此消息到DSMP，对该用户使用数据业务的合法性和有效性（状态是否为激活）进行检查。根据业务网关和Portal中用户进入方式的不同，提供四种方式的用户鉴权：
  1. 根据用户的MSISDN号码进行鉴权
  2. 根据用户的伪码进行鉴权
  3. 根据用户的MSISDN号码和密码进行鉴权
  4. 根据用户的伪码和密码进行鉴
     

spring cloud jwt用户鉴权及服务鉴权

用户鉴权

• 客户端请求服务时,根据提交的token获取用户信息,看是否有用户信息及用户信息是否正确

服务鉴权

• 微服务中,一般有多个服务,服务与服务之间相互调用时,有的服务接口比较敏感,比如资金服务,不允许其他服务随便调用,所以要进行服务调用的权限鉴定认证
• 每个服务带有2个拦截器: mvc拦截器和feign客户端拦截器
• service1(简称s1)调用service2(简称s2)时,s1的feign去服务鉴权中心获取一个token,然后携带token及用户上下文(用户信息),去访问s2,被s2的mvc拦截器拦截,s2的mvc拦截器去服务鉴权中心看s1是否合法,进行校验,然后返回结果
  

服务鉴权中心搭建

• 使用到的表有2张, 分别是微服务记录表和服务调用权限表,一个微服务可以调用多个其他微服务
• 服务记录表

CREATE TABLE `gate_client` (
  `id` int(11) NOT NULL AUTO_INCREMENT,//服务id
  `secret` varchar(255) DEFAULT NULL,//服务秘钥
  `name` varchar(255) DEFAULT NULL//服务名称
  }
  如:
  id=1 ,secret=123456,name=user-center

• 服务调用权限关系表

CREATE TABLE `gate_client_service` (
  `id` int(11) NOT NULL AUTO_INCREMENT,//记录id
  `service_id` varchar(255) DEFAULT NULL,//被调用者服务id
  `client_id` varchar(255) DEFAULT NULL//调用者服务id
  }
  service_id和client_id都对应gate_client表中的id字段

整个调用过程

1. 网关申请客户秘钥
2. 请求微服务1 ,被服务1的mvc拦截器拦截,进行是否授权服务权限校验
3. 验证通过后,如果服务1要调用服务2 ,调用feigin拦截器,feign拦截器自动申请token,带着这个token请求服务2
4. 请求服务2时,被服务2的mvc拦截器拦截,进行验证,看是否在授权的服务列表中,如果是返回调用结果

权限请求查表的顺序:

jwt–>获取用户信息–>查询此用户的组(group)–>查询分配的资源id–>查询可以访问的菜单,可以操作的页面按钮(访问的api)