微服务动态权限管理方案(Spring Cloud Gateway+Spring Cloud Security)

方案简述

微服务认证方案的大体方向是统一在网关层面认证鉴权,微服务只负责业务,和鉴权完全隔离

整体包含以下四个角色

  • 客户端:需要访问微服务资源

  • 网关:负责转发、认证、鉴权

  • OAuth2.0授权服务:负责认证授权颁发令牌

  • 微服务集合:提供资源的一系列服务。

这里的客户端自然是网站的用户

网关就由现有的gataway充当

OAuth2.0授权服务 由authService充当

微服务集合就为所以其他的业务service

权限认证时序图

微服务动态权限管理方案(Spring Cloud Gateway+Spring Cloud Security)_第1张图片

大致流程如下

1、客户端发出请求给网关获取令牌

2、网关收到请求,直接转发给授权服务

3、授权服务验证用户名、密码等一系列身份,通过则颁发令牌给客户端

4、客户端携带令牌请求资源,请求直接到了网关层

5、网关对令牌进行校验(验签过期时间校验....)、鉴权(对当前令牌携带的权限)和访问资源所需的权限进行比对,如果权限有交集则通过校验,直接转发给微服务

6、微服务进行逻辑处理

这里对网关鉴权进行一些说明,此时令牌解析后可以获得令牌对应的权限,然后此时获取该请求要访问的路径,在redis中取出该路径对应的角色组(即哪些角色有路径的访问权限),如果这个角色组包含令牌中的角色则鉴权成功

权限模型设计

RBAC权限模型(Role-Based Access Control)

即:基于角色的权限控制。模型中有几个关键的术语:

  • 用户:系统接口及功能访问的操作者

  • 权限:能够访问某接口或者做某操作的授权资格

  • 角色:具有一类相同操作权限的用户的总称

RBAC权限模型核心授权逻辑如下:

  • 某用户是什么角色?

  • 某角色具有什么权限?

  • 通过角色的权限推导用户的权限

数据库表设计

你可能感兴趣的:(springcloud,security,微服务,数据库,java)