微服务授权:
统一身份管理(UIM)是整个平台帐号和权限管控的基础,由此构建的系统称为UIMS(Unified Identity Management System),平台下所有系统的账户管理、身份认证、用户授权、权限控制等行为都经由 UIMS 处理,提供帐号密码管理、基本资料管理、角色权限管理等功能。UIMS 基于『统一身份治理』的概念,可划分为两级账户体系、基础权限模块和基础信息模块三大模块。其中两级账户体系将账户分为组织实体帐号和个人实体账户两大类,个人实体从属于组织实体,也可以不从属任何组织实体,且个人实体可同时从属于多个组织实体;基础权限模块将各业务系统的资源权限进行统一管理和授权;基础信息模块用于描述组织实体和个人实体的基本信息,如组织实体名称、地址、法人,个人实体姓名、电话号码、性别等基础信息。UIMS 提供统一的 API 与各子系统连接。
登录鉴权:
可以看到,众多系统和众多服务都将依赖于 UIMS 。本文仅涉及 UIMS 下的身份认证和用户授权这两块,即两级账户体系和基础权限模块,据此可以独立出账户服务和鉴权服务,也可以合并成一个账户鉴权服务。
随着平台业务的逐渐增长,依托于平台的,和平台依托的厂商和客户等资源将极大的丰富平台,因此必须构筑开放的生态系统,以支撑业务的进一步发展。必须开放平台级的授权登录功能,以允许第三方应用接入。通过三方授权登录,将平台的服务各能力开发给第三方,并将第三方的服务和能力接入平台,繁荣共生,共同发展。
服务间鉴权:
业务系统切分出不同的服务,根据粒度粗细和业务需求不同,服务的数量和权限要求都不同。微服务架构下的身份认证和授权,可分为两种:
内部服务的认证和授权;
外部服务的认证和授权。
通常,内部服务处于安全的内网环境之下,例如鉴权服务、商品服务、订单服务等,在对安全需求不高的情况下,可不执行认证过程,服务与服务之间是相互信任的。
而外部服务的认证和授权,通常由外部应用发起,通过反向代理或网关向安全边界内的服务发起请求,因此必须执行严格的认证过程。无线端APP、Web端、桌面客户端等外部应用下的各类服务,都属于外部服务。
今日总结:
今天上午学啦jwt工具类的构建和把登录和删除结合jwt实现,大概就是先使用登录获取一个jwt的编码,然后在删除的时候进行一次jwt编码的验证,如果不匹配的话则删除失败,jwt编码过期也判断为失败,下午学习啦写一个拦截器,实现啦具体在那个功能时使用jwt编码的匹配判断,如果我们每个方法都去写一段代码,冗余度太高,不利于维护那么我们就可以将这段代码放入拦截器去实现,使代码更加简洁有效。
