如何在微服务架构中对资源(前端页面+后端接口)进行权限控制

2020年11月21日 154点热度 0条评论 来源: 卜帅

如何对资源(前端页面+后端接口)进行权限控制

在微服务架构中,请求的拦截在gateway中完成,而权限的查询是在uaa中完成,在gateway和uaa集成部署的情况下实现较为简单,如果两者分离实现起来就会比较麻烦,一种方案是在gateway的资源filter中内部调用uaa的权限查询模块,该方案是可行的,但是存在两个弊端:

  1. 响应延时:每个资源的请求都会附带一次uaa内部调用,加重uaa服务的负担并延长了响应时间。
  2. 过度依赖:gateway作为api网关,过度依赖了api提供方(uaa)的内部方法,导致系统耦合度提升。

因此应寻找一种低响应延时、松散依赖的解决方案:“token扩展”。

"token扩展"的思路为在token形成时追加用户资源权限(ar)属性,在资源的拦截中获取ar并与当前请求的资源比对,相当于将用户的资源权限缓存到了token中,uaa通过客户端浏览器将权限信息传递至gateway,gateway直接解析request获取AR,避免了内部调用导致的过度依赖问题和相应延时问题。此方案应注意在用户登录期间的AR变动需在下次登录后方能生效!!!

具体步骤如下:

  1. uaa中扩展token属性(具体步骤参考最后部分),如在token中扩展ar属性,内部包含当前用户有权限访问的前端页面列表
{...,"ar":["a.html","b.html"]}
  1. gateway中拦截鉴权
        //解析ar
        Cookie accessTokenCookie = OAuth2CookieHelper.getAccessTokenCookie(request);
        Map<String, Object> additionalInformation = tokenStore.readAccessToken(accessTokenCookie.getValue())
                .getAdditionalInformation();
        List<String> ar = (List<String>) additionalInformation.get("ar");
        //鉴权
        for (String resourceUrl : ar) {
                if (resourceUrl == null) {
                    continue;
                }
                if (resourceUrl.startsWith(requestUri)) {
                    return false;
                }
        }
        

token 属性扩展

org.springframework.security.oauth2.provider.token.TokenEnhancer#enhance提供了扩展token属性的可能性,以下demo在token中增加ar属性,并使用@Component注入容器以生效。

@Component
public class ArTokenEnhancer implements TokenEnhancer {
    
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        addClaims((DefaultOAuth2AccessToken) accessToken,authentication);
        return accessToken;
    }

    private void addClaims(DefaultOAuth2AccessToken token, OAuth2Authentication authentication) {
        Map<String, Object> additionalInformation = token.getAdditionalInformation();
        additionalInformation.put("ar", "something you like");
        token.setAdditionalInformation(additionalInformation);
    }
}
    原文作者:卜帅
    原文地址: https://segmentfault.com/a/1190000017380308
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系管理员进行删除。