微服务认证策略

我很难为微服务架构选择一种体面/安全的身份验证策略。我在该主题上找到的唯一SO帖子是：Microservice Architecture中的单点登录

我的想法是在每个服务（例如身份验证，消息传递，通知，配置文件等）中具有对每个用户的唯一引用（从逻辑上说，然后是其用户user_id），并具有id在登录时获得当前用户的可能性。

从我的研究中，我发现有两种可能的策略：

1.共享架构

在这种策略中，身份验证应用是其中一项服务。但是每个服务都必须能够进行转换session_id=>，user_id因此必须非常简单。这就是为什么我想到Redis时会存储key：value的原因session_id:user_id。

2.防火墙架构

在此策略中，会话存储并不重要，因为它仅由身份验证应用处理。然后，user_id可以将其转发到其他服务。我想到了Rails + Devise（+ Redis或mem-cached，或cookie存储等），但是有很多可能性。唯一重要的是，Service X永远不需要对用户进行身份验证。

这两种解决方案在以下方面的比较：

• 安全
• 健壮性
• 可扩展性
• 使用方便

也许您会建议我在这里没有提到的另一种解决方案？

我更喜欢＃1解决方案，但还没有发现很多默认的实现方式可以确保我朝正确的方向前进，因此可以确保我的安全。

我希望我的问题不会被解决。我真的不知道还有什么要问的。

提前致谢

根据我的理解，解决该问题的一种好方法是使用OAuth 2协议（您可以在http://oauth.net/2/上找到有关它的更多信息）

当您的用户登录到您的应用程序时，他们将获得一个令牌，并使用此令牌可以将其发送到其他服务以在请求中进行标识。

链接微服务设计示例

资源：

• http://presos.dsyer.com/decks/microservice-security.html
• https://github.com/intridea/oauth2
• https://spring.io/guides/tutorials/spring-security-and-angular-js/

简短答案：使用基于Oauth2.0种类令牌的身份验证，该身份验证可用于任何类型的应用程序（例如Web应用程序或移动应用程序）。然后，Web应用程序所涉及的步骤顺序将是：

1. 根据ID提供商进行身份验证
2. 将访问令牌保留在cookie中
3. 访问webapp中的页面
4. 致电服务

下图描述了所需的组件。这种将Web和数据api分开的架构将提供良好的可伸缩性，弹性和稳定性

应该使用API​​网关模式通过OpenID Connect来实现此目的。用户将通过IDP进行身份验证，并将从授权服务器获取JWT令牌。现在，API网关系统可以将此令牌存储在Redis数据库中，并在浏览器上设置cookie。API网关将使用cookie来验证用户请求，并将令牌发送给微服务。

API网关充当所有类型的客户端应用程序（如公共Java脚本客户端应用程序，传统Web应用程序，本机移动应用程序和微服务架构中的第三方客户端应用程序）的单个入口点。

您可以在http://proficientblog.com/microservices-security/上找到有关它的更多详细信息。

您可以将意识服务器4用于身份验证和授权

您必须使用防火墙体系结构，因此可以更好地控制安全性，鲁棒性，可扩展性和易用性