微服务化改造系列之四:授权中心

最新推荐文章于 2025-11-07 09:31:45 发布
原创 最新推荐文章于 2025-11-07 09:31:45 发布 · 7.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#架构 #微服务

本文探讨了微服务架构下的授权机制,包括简单授权、协议授权及中央授权三种模式,并重点介绍了OAuth协议及其在微服务场景中的应用。

前情概要:
- 微服务化改造系列之一:总览
- 微服务化改造系列之二:服务注册中心
- 微服务化改造系列之三:配置中心

授权中心概述

这篇文章是微服务化改造系列的第四篇,主题是授权中心。有了服务注册中心和配置中心,下一步应该就可以发起服务调用了吧?Wait, 还有一个关键问题要解决。不同于单体应用内部的方法调用,服务调用存在一个服务授权的概念。打个比方,原本一家三兄弟住一屋,每次上山打猎喊一声就行,后来三兄弟分了家,再打猎就要挨家挨户敲门了。这一敲一应就是所谓的服务授权。

严格来说,服务授权包含鉴权(Authentication)和授权(Authorization)两部分。鉴权解决的是调用方身份识别的问题,即敲门的是谁。授权解决的是调用是否被允许的问题,即让不让进门。两者一先一后,缺一不可。为避免歧义,如不特殊指明,下文所述授权都是宽泛意义上的授权,即包含了鉴权。

常见的服务授权有三种,简单授权,协议授权和中央授权。

  • 简单授权:服务提供方并不进行真正的授权,而是依赖于外部环境进行自动授权,比如IP地址白名单,内网域名等。这就好比三兄弟互相留了一个后门。
  • 协议授权:服务提供方和服务调用方事先约定一个密钥,服务调用方每次发起服务调用请求时,用约定的密钥对请求内容进行加密生成鉴权头(包含调用方唯一识别ID),服务提供方收到请求后,根据鉴权头找到相应的密钥对请求进行鉴权,鉴权通过后再决定是否授权此次调用。这就好比三兄弟之间约定敲一声是大哥,敲两声是二哥,敲三声是三弟。
  • 中央授权:引入独立的授权中心,服务调用方每次发起服务调用请求时,先从授权中心获取一个授权码,然后附在原始请求上一起发给服务提供方,提供方收到请求后,先通过授权中心将授权码还原成调用方身份信息和相应的权限列表,然后决定是否授权此次调用。这就好比三兄弟每家家门口安装了一个110联网的指纹识别器,通过远程指纹识别敲门人的身份。

一般来说,简单授权在业务规则简单、安全性要求不高的场景下用的比较多。而协议授权,比较适用于点对点或者C/S架构的服务调用场景,比如Amazon S3 API。对于网状结构的微服务而言,中央授权是三种方式中最适合也是最灵活的选择:

  1. 简化了服务提供方的实现,让提供方专注于权限设计而非实现。
  2. 更重要的是提供了一套独立于服务提供方和服务调用方的授权机制,无需重新发布服务,只要在授权中心修改服务授权规则,就可以影响后续的服务调用。

OAuth

说起具体的授权协议,很多人第一反应就是OAuth。事实上也的确如此,很多互联网公司的开放平台都是基于OAuth协议实现的,比如Google APIs, 微信网页授权接口。一次标准的OAuth授权过程如下:

对应到微服务场景,服务提供方相当于上图中的Resource Server,服务调用方相当于Client,而授权中心相当于Authorization Server和Resource Owner的合体。

想了解更多关于OAuth的信息,可移步OAuth2或者OAuth2中文版

Beared Token

在标准的OAuth授权过程中,Resource Server收到Client发来的请求后,需要到Authorization Server验证Access Token,并获取Client的进一步信息。通过OAuth 2.0版本引入中的Beared Token,我们可以省去这一次调用,将Client信息存入Access Token,并在Resource Server端完成Access Token的鉴权。主流的Beared Token有SAMLJWT两种格式,SAML基于XML,而JWT基于JSON。由于大多数微服务都使用JSON作为序列化格式,JWT使用的更为广泛。

框架选型

在选型OAuth框架时,我主要调研了CAS,Apache Oltu,Spring Security OAuthOAuth-Apis,对比如下:

不考虑实际业务场景,CAS和Spring Security OAuth相对另外两种框架,无论是集成成本还是可扩展性,都有明显优势。前文提到,由于我们选用了Spring Boot作为统一的微服务实现框架,Spring Security OAuth是更自然的选择,并且维护成本相对低一些(服务端)。

最终方案

最终我们基于Spring Security OAuth框架实现了自己的服务授权中心,鉴权部分做的比较简单,目前只支持私网认证。大致的服务授权流程如下:

值得一提的是,除了服务调用,我们的服务授权中心还增加了SSO的支持,通过微信企业号实现各个服务后台的单点登录/登出,以后有机会再详细介绍。

冰山一角

至此,这个微服务化改造系列就算告一段落,等以后有了更多的积累,我会继续写下去。微服务是一个很大的话题,自Martin Fowler于2014年3月提出以来,愈演愈热,并跟另一个话题容器化一起开创了一个全新的DevOps时代,引领了国内外大大小小各个互联网公司的技术走向,也影响了我们这一代程序员尤其是后端和运维的思维方式。从这个角度说,我写这个微服务化改造系列文章也是偶然中的必然,希望能给读过这些文章的你带来一些新的启发和思考。如果你对微服务也感兴趣或者有一些心得想跟我交流,欢迎在赞赏榜上留下你的微信号。

少年读书如隙中窥月,中年读书如庭中望月,老年读书如台上玩月,皆以阅历之浅深为所得之浅深耳。– 张潮 《幽梦影》

参考

微服务场景实战:基于SpringCloud Alibaba从零搭建鉴权中心服务
doomwatcher的博客
12-06 2276
鉴权中心服务 认识JWT json web token 是一个开放的标准 ,它定义了一个种紧凑的,自包含的方式,用于作为json对象在各方之间安全的传输信息 服务器鉴权完成之后 会生成 json 对象 发送给客户端,之后客户端和服务端传输数据都需要带上这个对象,服务器完全通过这个json对象认定客户端身份,为了防止篡改数据,服务端在生成的时候都会加上签名(加密的意思),服务器不保存session数据也就是无状态,更适合实现扩展 那些环境可以考虑使用jwt呢? 用户授权 ,信息交换 JWT组成部分 He
微服务框架搭建 基于oauth2 认证中心服务
03-26
#微服务框架认证授权中心 项目采用spring cloud、oauth2、spring security # 依赖环境 JDK8、 Maven、 Mysql、 Redis 、nacos 注册中心采用阿里巴巴 nacos 缓存使用的是redis oauth2数据存储在数据库中 username: test password: 123456 phone: 13100000000 verifyCode: 1000 //数据库使用的是mysql5.7.23 执行sql语句 修改配置数据库密码 //数据库密码使用druid加密 *表示密码 java -cp druid-1.1.10.jar com.alibaba.druid.filter.config.ConfigTools ****** //nacos安装请查看官网资料 授权码: http://localhost:9001/auth/oauth/authorize?response_type=code&client_id=test&redirect_uri=https://www.ddd.com 密码模式: post http://localhost:9001/auth/oauth/token?grant_type=password&client_id=test&client_secret=123456&username=test&password=123456 客户端: post http://localhost:9001/auth/oauth/token?grant_type=client_credentials&client_id=test&client_secret=123456
David Borsos的微服务大会安全认证与鉴权种方案
shareve的博客
01-04 1055
David Borsos 在伦敦的微服务大会上提出了种方案: 1. 单点登录(SSO) 这种方案意味着每个面向用户的服务都必须与认证服务交互,这会产生大量非常琐碎的网络流量和重复的工作,当动辄数十个微应用时,这种方案的弊端会更加明显。 2. 分布式 Session 方案 分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中,且通常由用户会话作为 key 来实现的简
微服务 token 鉴权的7种方案
最新发布
芋艿V
11-07 50
基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能。基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能。
微服务授权方案
时来时去时不返
01-24 200
微服务 认证授权中心搭建 Token使用案例 redis JWT 1
qq_50909707的博客
05-13 2834
目录 一、依赖 二、配置 三、启动类 、授权功能配置 五、网络安全配置 六、测试token 一、依赖 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> &lt
微服务改造之路:传统校务系统迈向云原生的9个关键阶段
# 基于微服务架构的校务系统重构:从理论到实践的全链路演进 在高校信息建设迈入“智慧校园”深水区的今天,我们常常会遇到这样的场景:每到学期初选课高峰期,教务系统响应缓慢、页面卡顿;成绩录入后通知延迟...
业务系统的微服务改造方案 (2).docx
12-17
《业务系统的微服务改造方案》 在当今的互联网行业中,随着业务复杂性的增加,传统的单体架构逐渐暴露出其局限性,如开发效率低、部署困难、维护成本高等问题。因此,微服务架构应运而生,它将大型的单体应用拆分...
微服务架构赋能Java商城系统:灵活扩展的实践之道
![微服务架构赋能Java商城系统:灵活扩展的实践之道]...随后,文章结合Java商城系统的实例,详述了微服务改造策略、技术选型以及持续集成与部署的实践。进一步探讨了微服务架构下商城系统功能的扩展,重点介
【BOSS系统微服务改造】:敏捷高效的服务架构构建秘籍
微服务改造是现代企业IT架构演进的关键方向,旨在通过服务的分解和重构,提升系统的可维护性、扩展性和灵活性。本文首先概述了微服务的基本概念及其架构设计理论,随后以BOSS系统为例,详细阐述了微服务实践中的...
微服务架构校园新应用】:失物招领系统的微服务转型之路
[【微服务架构校园新应用】:失物招领系统的微服务转型之路](https://sunteco.vn/wp-content/uploads/2023/06/Microservices-la-gi-Ung-dung-cua-kien-truc-nay-nhu-the-nao-1024x538.png) # 摘要 随着企业级应用...
OAuth 2.0 构建微服务身份认证(一):授权模式选择
awj321000的专栏
05-10 589
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变、需求的变,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案。单体应用 VS 微服务随着微服务架构的兴起,传统的单体应用场景下的身份认证和鉴权面临的挑战...
微服务中的授权中心(JWT如何加密传输、Cookie如何跨域写入请求)
mashaokang1314的博客
07-04 1866
JWT(JSON Web Token) 结合Zuul的鉴权流程 在微服务架构中,我们可以把服务的鉴权操作放到网关中,将未通过鉴权的的请求直接拦截; 用户请求登录; Zuul将请求转发到授权中心,请求授权; 授权中心校验完成,颁发JWT凭证; 客户端请求其他功能携带JWT; Zuul将JWT交给授权中心校验,通过后放行; 用户请求到达微服务微服务将JWT交给鉴权中心,鉴权同时解析用户信息; ...
SSO-OAuth2.0授权中心实战
weixin_38277138的博客
03-21 610
Spring Security Oauth2整合JWT;实现JWT非对称加密;配置授权服务器
Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心
LarrYFinal的博客
04-05 9168
Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心 目录 Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心 一、简介 二、项目搭建 三、测试 一、简介 1.1 Spring Cloud Gateway 网关服务 相比大家都应该知道。主要是统一我们的接口请求转发,将我们对其他服务的请求都通过网关进行转发。API网关封装了系统内部架构,为每个客户端提供一个定制的API。它可能还具有其它职责,如.
【SA-Token】授权 鉴权中心微服务
热爱码农的平民博客
11-07 2761
简而言之,BFF就是设计后端微服务API接口时,考虑到不同设备的需求,为不同的设备提供不同的API接口。有了BFF层之后,客户端只需要发起一次HTTP请求,BFF层就能调用不同的服务,然后把汇总后的数据返回给客户端,这样就减少了外网的HTTP请求,响应速度也就更快。客户端不是直接访问服务器的公共接口,而是调用BFF层提供的接口,BFF层再调用基础的服务,不同的客户端拥有不同的BFF层,它们定制客户端需要的API接口。​ 3.Payload kv形式的数据 即你想传递的数据 (授权的话就是token 信息)
微服务实战》 第二十七章 CAS
Java 技术专栏,从入门到精通,熟悉企业级开发
05-30 937
本章节介绍CAS概念、实现原理,并通过java代码实现CAS
微服务集成cas_以最小的成本,落地微服务特色的DevOps管道,持续集成/部署到k8s...
weixin_39875031的博客
01-03 455
作者:justmine(大数据达摩院)出处:https://www.cnblogs.com/justmine创作不易,欢迎转载,但必须在文章开头保留此段声明,否则保留追究法律责任的权利。目录前言目标工具 - 最小的学习成本方案 - 愿景1. 持续集成 - CI2. 持续部署 - CD部署环境1. 部署gitlab-runner2. 注册gitlab-runner搭建DevOps管道 - PipeL...
微服务注册中心简介
老男孩的架构路
10-19 1394
ZooKeeper由雅虎研究院开发,后来捐赠给了Apache。ZooKeeper是一个开源的分布式应用程序协调服 务器,其为分布式系统提供一致性服务。其一致性是通过基于Paxos算法的ZAB协议完成的。其主要功 能包括:配置维护、命名服务、分布式同步、集群管理、DNS服务、Master选举、分布式锁、分布式队 列等。其中DNS服务就是提供的注册中心服务。
springboot3+vue项目微服务改造
03-19
<think>好的,我现在需要帮助用户了解如何将SpringBoot3与Vue结合的项目改造微服务架构的最佳实践。首先,我需要理解用户的问题背景。他们可能已经有一个单体应用,使用Spring Boot 3作为后端,Vue作为前端,现在想要进行微服务改造改造的目标可能包括提高系统的可扩展性、维护性和灵活性。用户需要具体的步骤和最佳实践,所以我的回答需要结构清晰,分步骤说明。 首先,我需要回忆一下微服务架构的关键点,比如服务拆分、服务注册与发现、配置中心、API网关、分布式事务等。然后结合Spring Boot 3的新特性,比如对Java 17的支持、GraalVM原生镜像、改进的Micrometer集成等,这些可能影响微服务的设计。Vue作为前端框架,可能需要考虑前后端分离后的部署方式,以及如何与多个微服务交互。 接下来,我需要参考用户提供的引用内容。引用1到5都提到了基于Spring Boot和Vue的微服务系统设计,比如设备管理系统、在线教育系统、自驾游网站等。这些案例中可能有一些共同的实践,比如使用Nacos作为注册中心和配置中心,Spring Cloud Alibaba的组件,MyBatis作为ORM,前后端分离架构等。需要将这些信息整合到回答中。 然后,我需要考虑用户可能没有提到的方面,比如数据库的拆分策略、持续集成/持续部署(CI/CD)、监控和日志聚合等。此外,Spring Boot 3对Spring Cloud的版本兼容性也是一个需要注意的点,可能需要使用最新的Spring Cloud版本,比如2022.0.x,即Kilburn系列。 在服务拆分方面,应该从业务功能出发,按照领域驱动设计(DDD)的限界上下文来划分服务。例如,用户管理、订单管理、商品管理各自成为独立服务。每个微服务应有独立的数据库,使用不同的数据源配置,避免数据库耦合。 在技术选型上,注册中心可以选择Nacos,因为它同时支持服务发现和配置管理,而Spring Cloud Gateway作为API网关,处理路由、鉴权、限流等。Feign或OpenFeign用于服务间通信,Sentinel负责熔断和流控。分布式事务可以使用Seata,而链路追踪可能用Sleuth和Zipkin。 对于前端Vue的改造,需要保持前后端分离,前端通过API网关统一访问后端服务。可能需要使用Vue Router管理路由,Axios处理API请求,同时要考虑跨域问题和网关的路由配置。 在配置管理方面,每个微服务应有独立的配置文件,结合Nacos的配置中心进行动态配置更新。Spring Boot 3的配置处理是否有变需要注意,比如是否支持新的配置方式。 安全方面,Spring Security与OAuth2/JWT结合,实现统一的认证授权。每个微服务需要集成安全依赖,网关负责鉴权,而前端Vue需要处理token的存储和传递。 部署方面,Docker容器每个微服务,结合Kubernetes进行编排,提高伸缩性和可靠性。可能需要用到Jenkins或GitHub Actions进行CI/CD流水线的搭建。 监控部分,Spring Boot Actuator提供健康检查,Prometheus收集指标,Grafana展示数据。日志可以用ELK栈集中管理。 需要注意的挑战包括分布式事务的处理、服务调用的延迟、数据一致性、测试复杂性等。需要给出一些解决策略,比如异步通信、事件溯源、补偿事务等。 可能还需要提到升级Spring Boot 3的注意事项,比如包路径从javax迁移到jakarta,Java 17的新特性利用,以及与其他Spring Cloud组件的兼容性测试。 最后,生成的相关问题需要围绕用户可能进一步关心的点,比如具体拆分步骤、Spring Boot 3的新特性应用、前端改造注意事项、性能优、安全方案等。 总结一下,回答的结构应该是分步骤的,每个步骤详细说明技术选择和实现方法,结合用户提供的引用案例,引用相关文献,并指出可能的挑战和解决方案。同时,确保使用正确的中文表达,符合LaTeX格式要求,行内公式用$...$,独立公式用$$...$$,并生成相关问题。</think>### SpringBoot3+Vue项目微服务改造方案及最佳实践 将SpringBoot3与Vue结合的单体应用改造微服务架构,需遵循模块拆分、技术选型优和基础设施整合三大原则。以下是分步骤的改造方案: --- #### **一、服务拆分与架构设计** 1. **业务模块拆分** - 按领域驱动设计(DDD)划分微服务,例如:用户服务、订单服务、商品服务等[^3]。 - 每个服务独立数据库,使用`Spring Data JPA`或`MyBatis`管理数据访问,避免跨服务直接操作数据库[^5]。 2. **技术选型** - **注册中心与配置中心**:推荐`Nacos`,支持动态服务发现与配置管理[^4]。 - **API网关**:使用`Spring Cloud Gateway`统一路由、鉴权和限流[^2]。 - **服务通信**:通过`OpenFeign`实现声明式REST调用,结合`Sentinel`实现熔断与降级[^1]。 - **分布式事务**:采用`Seata`解决跨服务事务一致性。 --- #### **二、SpringBoot3后端改造** 1. **依赖升级与兼容性** - SpringBoot3需Java17+,需检查原有代码是否兼容`jakarta`包命名空间(原`javax`)。 - 集成SpringCloud最新版本(如2023.0.x),确保组件兼容性。 2. **服务配置** - 每个微服务独立配置`bootstrap.yml`,通过Nacos动态加载配置: ```yaml spring: cloud: nacos: config: server-addr: localhost:8848 file-extension: yaml ``` 3. **服务注册与调用示例** - 服务注册: ```java @SpringBootApplication @EnableDiscoveryClient public class UserServiceApplication { ... } ``` - Feign调用: ```java @FeignClient(name = "order-service") public interface OrderClient { @GetMapping("/orders/{userId}") List<Order> getOrdersByUserId(@PathVariable Long userId); } ``` --- #### **三、Vue前端改造** 1. **统一API网关接入** - 前端通过网关地址访问后端服务,例如: ```javascript // axios配置 axios.defaults.baseURL = 'http://gateway:8080/api'; ``` 2. **路由与状态管理** - 使用`Vue Router`管理前端路由,`Vuex/Pinia`管理全局状态。 - 动态菜单加载:从网关获取权限数据,渲染菜单。 --- #### **、基础设施与部署** 1. **容器与编排** - 使用`Dockerfile`打包服务镜像,通过`Kubernetes`编排微服务[^4]。 - 示例Dockerfile: ```dockerfile FROM openjdk:17-jdk-slim COPY target/user-service.jar /app.jar ENTRYPOINT ["java","-jar","/app.jar"] ``` 2. **监控与日志** - 集成`Spring Boot Actuator`暴露健康检查端点。 - 使用`Prometheus+Grafana`监控指标,`ELK`聚合日志[^1]。 --- #### **五、挑战与解决策略** | 挑战 | 解决方案 | |---------------------|-----------------------------------------| | 分布式事务一致性 | Seata AT模式 + 异步消息补偿 | | 服务调用延迟 | 优Feign超时配置 + 本地缓存策略 | | 跨服务鉴权 | 网关统一JWT验证 + OAuth2授权中心 | --- #### **六、引用技术组件总结** - **核心框架**:SpringBoot3 + SpringCloud + Vue3 - **基础设施**:Nacos(注册/配置中心)、Spring Cloud Gateway、Sentinel - **数据层**:MyBatis-Plus、MySQL分库分表(ShardingSphere) - **部署工具**:Docker + Kubernetes + Jenkins CI/CD ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值