【微服务】Nacos 账号权限体系

已于 2023-10-29 13:49:05 修改
阅读量4.6k 收藏 56
点赞数 6
分类专栏: SpringCloud 文章标签: 微服务 java 云原生
于 2023-01-09 11:22:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_57756904/article/details/128609864
版权

博主介绍:✌全网粉丝5W,全栈开发工程师,从事多年软件开发,在大厂呆过。持有软件中级、六级等证书。可提供微服务项目搭建与毕业项目实战,博主也曾写过优秀论文,查重率极低,在这方面有丰富的经验✌

博主作品:《Java项目案例》主要基于SpringBoot+MyBatis/MyBatis-plus+MySQL+Vue等前后端分离项目,可以在左边的分类专栏找到更多项目。《Uniapp项目案例》有几个有uniapp教程,企业实战开发。《微服务实战》专栏是本人的实战经验总结,《Spring家族及微服务系列》专注Spring、SpringMVC、SpringBoot、SpringCloud系列、Nacos等源码解读、热门面试题、架构设计等。除此之外还有不少文章等你来细细品味,更多惊喜等着你哦

🍅uniapp微信小程序🍅面试题软考题免费使用,还可以使用ChatGPT,微信支付,扫码加群

点击这里预览

🍅开源项目免费哦(有vue2与vue3版本):  点击这里克隆或者下载    🍅

🍅文末获取联系🍅精彩专栏推荐订阅👇🏻👇🏻 不然下次找不到哟

Java项目案例《100套》

https://blog.youkuaiyun.com/qq_57756904/category_12173599.html

uniapp小程序《100套》
https://blog.youkuaiyun.com/qq_57756904/category_12199600.html

目录

一、背景

1、账号体系

2、账号实体映射

二、方案

1、Nacos 资源模型

2、Nacos 授权 resource

2.1、授权 resource 组成

2.2、不同级别授权资源组成

3、Nacos 授权 Opers

4、Nacos 具体权限定义

4.1、Opers 组成

4.2、具体实例

4.3、工程实现

三、RBAC 设计实现

1、RBAC 账号权限组成

1.1、角色

1.2、默认账号

1.3、账号体系映射

2、身份识别

2.1、身份识别分类

2.2、账号区别

💖微服务实战

💖 Spring家族及微服务系列文章 

一、背景

为了 Nacos 提升安全能力,更好满足生产要求,需要设计账号权限体系,又要能兼容云上和阿里内部场景。避免后续代码无法融合。 这块的挑战是要做好抽象,不然没法和不同账号权限体系打通。默认我们提供⼀个简单的实现,当有类似于 RAM 这样的权限体系后,直接对接即可。

1、账号体系

目前用的比较多的是 ABAC 和 RBAC 体系。目前阿里云采用 ABAC 体系,阿里内部采用 RBAC体系。无论哪个体系,最终都是让账号有有限资源的权限,已达到访问控制的目的。不同的是关联的方法,相同的都是抽象好 Nacos 的 Resource 和 Opers 。鉴权模块可以抽象可插拔,实现两种都可以支持。

2、账号实体映射

实体阿里云账号阿里内 Dauth开源
公司公司账号⼀个 admin 账号
业务域(BU,
产品线)		用户组CMDB 打通做
封网
APP(程序和
负责人)		子账号(程序账号和人账号)Dauth 应用账
普通账号+角色
环境namespace同左同左
资源acs:config:region:namespace:group同左同左

二、方案

1、Nacos 资源模型

2、Nacos 授权 resource

namespace+group+dataId 组成某⼀个授权资源,是最细能做到的水准,但是这么细的授权粒度,会导致权限数据暴涨,有多少配置(100w),就会有多少授权数据,这样在分布式权限系统中是不能搞定的,因为要有 100w 授权数据,意味着我每个 nacos 节点要监听 100w 个权限数据。因此权限管控粒度在实际生产环境,只能控制到 group 级别。namespace+group。或者 namespace 级别。

2.1、授权 resource 组成

acs:config:region:namespace:group
acs: access controller system 缩写
config:产品名或者模块名
region:区域
namespace:命名空间
group:分组

2.2、不同级别授权资源组成

授权⼀个命名空间下所有数据权限
acs:config:region:namespace:* 授权多个命名空间下⼀个分组权限
acs:config:region:*:group

3、Nacos 授权 Opers

由于使用 nacos 本质是读写数据,监听也是⼀种为了读取的行为。因此对于具体某⼀个数据,只要区分到读或者写(w/r)即可。

4、Nacos 具体权限定义

4.1、Opers 组成

acs:config:region:namespace:group w/r

4.2、具体实例

账号
角色/策略Opers/Rule
app1app1Progressacs:config:region:namespace1:goup1 -> r
app1consoleapp1consoleProgressacs:config:region:namespace1:goup1 -> w
user1app1Devacs:config:region:namespace1:goup1 -> r
app2app2Progressacs:config:region:namespace2:goup2 -> r
app2consoleapp2consoleProgressacs:config:region:namespace2:goup2 -> w
user2app2Devacs:config:region:namespace2:goup2 -> r
user3app1Ops
app2Ops		acs:config:region:namespace1:goup1 -> w
acs:config:region:namespace2:goup2 -> w
 

4.3、工程实现

所有的数据请求,都走鉴权切面。 切面里面抽象好 spi,实现上面的鉴权行为。 不同权限模型,不同场景,插拔不同的 spi。

三、RBAC 设计实现

1、RBAC 账号权限组成

rbac 账号体系由 账号 角色 权限,三元组构成,下面介绍该体系模型下,nacos 权限模型的最佳实践。

1.1、角色

首先从角色讲起,以便把账号,权限做⼀个大致的区分。

角色实体映射⽤途权限
SystemRole系统运维工程师运维日常运维
查看系统 metrics
监控,处理报警
创建 AdminRole 的用户,或者提供开通
AdminRole 角色用户机制
AdminRole企业账号付费,创建员工账号
分配权限
自定义角色员工账号/应用账号使用产品特性使用权限范围特性

1.2、默认账号

默认账号名称角色账号ID
systemSystemRole
 		0
adminAdminRole1

1.3、账号体系映射

nacos阿里云内部
system
 		云产品账号
admin主账号
员工账号,可多个子账号(Ram 分配用户名密码)员工账号
程序账号子账号(Ram 分配 ak/sk)Dauth 分配账号及 ak/sk

2、身份识别

2.1、身份识别分类

账号类型⽤途身份识别
用户账号用于分配人管理资源用户名/密码
应用账号用于分配程序访问资源ak/sk

2.2、账号区别

应用账号与应用负责人能用⼀个账号吗?
不可以,因为人会流动,权限变动比较大。 因此⼀个应用的权限和应用开发负责人权限是分开的, 用不同的账号。 应用有开发,测试,owner,其实他们有对应应用使用资源的不同权限。因此应用 负责人与应用的权限也不对等,不能共用⼀个账号。

💖微服务实战

【微服务】SpringCloud的OpenFeign与Ribbon配置

集Oauth2+Jwt实现单点登录

Spring Cloud Alibaba微服务第29章之Rancher

Spring Cloud Alibaba微服务第27章之Jenkins

Spring Cloud Alibaba微服务第24章之Docker部署

Spring Cloud Alibaba微服务第23章之Oauth2授权码模式

Spring Cloud Alibaba微服务第22章之Oauth2

Spring Cloud Alibaba微服务第21章之分布式事务

Spring Cloud Alibaba微服务第18章之消息服务

Spring Cloud Alibaba微服务第16章之服务容错

Spring Cloud Alibaba微服务第14章之分库分表

Spring Cloud Alibaba微服务第11章之MyBatis-plus

Spring Cloud Alibaba微服务第8章之OpenFeign

Spring Cloud Alibaba微服务第7章之负载均衡Ribbon

SpringCloud Alibaba微服务第6章之Gateway

SpringCloud Alibaba微服务第4章之Nacos

SpringCloud Alibaba微服务开篇

💖 Spring家族及微服务系列文章 

【Spring】一文带你吃透IOC容器技术

【微服务】SpringCloud中OpenFeign请求处理及负载均衡流程

【微服务】SpringCloud中Ribbon的WeightedResponseTimeRule策略

【微服务】SpringCloud中Ribbon的轮询(RoundRobinRule)与重试(RetryRule)策略

【微服务】SpringCloud中Ribbon集成Eureka实现负载均衡

【微服务】SpringCloud轮询拉取注册表及服务发现源码解析

【微服务】SpringCloud微服务续约源码解析

【微服务】SpringCloud微服务注册源码解析

【微服务】Nacos2.x服务发现?RPC调用?重试机制?

【微服务】Nacos通知客户端服务变更以及重试机制

【微服务】Nacos服务发现源码分析

【微服务】SpringBoot监听器机制以及在Nacos中的应用

【微服务】Nacos服务端完成微服务注册以及健康检查流程

【微服务】Nacos客户端微服务注册原理流程

【微服务】SpringCloud中使用Ribbon实现负载均衡的原理

【微服务】SpringBoot启动流程注册FeignClient

【微服务】SpringBoot启动流程初始化OpenFeign的入口

Spring Bean的生命周期

Spring事务原理

SpringBoot自动装配原理机制及过程

SpringBoot获取处理器流程

SpringBoot中处理器映射关系注册流程

Spring5.x中Bean初始化流程

Spring中Bean定义的注册流程

Spring的处理器映射器与适配器的架构设计

SpringMVC执行流程图解及源码

Nacos 权限控制介绍及实战
阿里巴巴中间件
03-26 9080
Nacos权限控制设计方案方案背景Nacos 自开源依赖,权限控制一直需求比较强烈,这也反应了用户需求将 Nacos 部署到生产环境的需求。最新发布的...
SpringCloud Alibaba(一)微服务简介+Nacos的安装部署与使用+Nacos集成springboot实现服务注册+Feign实现服务之间的远程调用+负载均衡+领域划分
m0_65992672的博客
05-15 6415
一.认识微服务,1.1.单体架构,1.2.分布式架构,1.3.微服务,1.4.SpringCloud,1.5Nacos注册中心,1.6.总结,二、Nacos基本使用,一)linux安装包方式单节点安装部署,(二)linux源码方式单节点安装部署,(三)Nacos集成SpringBoot实现服务注册与发现 (四)解决登录问题,SpringCloud Alibaba(一)微服务简介+Nacos的安装部署与使用+Nacos集成springboot实现服务注册+Feign实现服务之间的远程调用+负载均衡+领域划分
Nacos服务、配置、权限管理
算法小生
12-12 2789
本文介绍nacos权限管理模块:基于RBAC(Role-Based Access Control)权限模型,即基于角色的权限控制。后续笔者会在公众号算法小生专门开设一个系列,从Vue前端到后端一整套流程实现RBAC权限系统与大家分享。
Nacos config 配置中心权限管理
最新发布
matrixlzp的博客
04-01 469
记得 开启 权限校验,其他的在界面操作就可以,很简单。
nacos控制台权限管理
xixingzhe2的博客
08-07 6523
nacos默认是没开启权限控制的,开启权限控制则需要修改配置文件conf/application.properties。
nacos区分权限
Java领域
01-30 7816
nacos设置权限,创建nacos用户
java微服务Nacos配置管理
热门推荐
lonely_bin的博客
07-11 1万+
介绍Nacos配置管理 Nacos 提供了动态配置服务,能让我们可以实时进行服务应用的配置变更,让配置管理变得更加高效和快捷。它基于 key/value 方式存储应用配置和其他元数据信息,为分布式系统中的外部化配置提供服务器端和客户端支持。 首先了解下 Nacos 在配置管理模块上的几个重要概念,能帮助我们更好的理解和正确的使用 Nacos 进行配置管理。 命名空间(Namespace) 用于进行...
微服务入门(Nacos,Feign,网关Zuul)
weixin_45773628的博客
08-02 2934
日志级别尽量用basic使用HttpClient或OKHttp代替URLConnection引入feign-httpClient依赖配置文件开启httpClient功能,设置连接池参数。
高效搭建Nacos:实现微服务的服务注册与配置中心
qq_17153885的博客
12-28 1408
Nacos(Dynamic Naming and Configuration Service)是阿里巴巴开源的一款动态服务发现、配置管理和服务管理平台。它旨在帮助开发者更轻松地构建、部署和管理分布式系统,特别是在微服务架构中。
微服务权限解决方案:基于Nacos+Gateway+Sa-Token
m0_64132144的博客
11-15 788
本节课程主要讲解了使用Nacos+Gateway+Sa-Token来实现微服务项目的权限功能,对比使用Spring Security,该方案更简单、更优雅。使用Sa-Token,只要在网关上配置过滤器实现认证和授权,然后调用API实现登录及权限分配即可。
后台权限管理系统微服务
10-15
idea开发的springboot项目后端微服务,使用gradle搭建,项目中有mysql数据库脚本,可以直接部署运行。 权限管理通过shiro认证授权,可以通过nginx配置集成其他微服务,只需要调用应用中的授权接口即可。 api接口说明采用swagger,详情可以参考项目中的Readme文件
Nacos权限管理
iteye_7129的博客
03-07 1795
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Nacos认证框架二、框架研究1.实现方式2.权限认证中心总结 前言 系统的访问认证是维护系统安全,保障特定权限的用户的正确访问系统获取有效资源,因此对于系统添加认证是必须的。 一、Nacos认证框架 Nacos认证的框架主要是 二、框架研究 第一步:在controller中增加注解@Secured,标准当前controller的方式方式,访问的资源 第二步:添加过滤器,对注解@Secured进行权限的校验 具体的流程:
Nacos的权限控制和安全机制有哪些?
qq_33240556的博客
10-24 493
为了确保生产环境中的安全性,强烈建议启用权限控制功能,并定期审查和更新安全策略以适应不断变化的安全威胁。同时,也应该遵循最小权限原则,即只赋予执行任务所需的最低限度的权限。Nacos 提供了多种权限控制和安全机制来保证系统的安全性以及配置数据的隐私。
Nacos入门到实战八】Nacos配置管理:登录管理与权限策略
私聊前往站内信:https://i.youkuaiyun.com/#/msg/chat/weixin_44976692
10-04 1万+
在前一篇文章中,我们详细讲解了Nacos配置管理的基础操作和权限管理的基本方法。本篇文章将继续探讨Nacos的用户登录管理与权限策略,包括如何创建用户、分配角色、管理访问权限以及在多环境、多租户场景中实现精细化权限控制。通过本篇内容,您将掌握Nacos权限管理模块的高级应用,并能够为不同用户设置合理的访问策略,确保配置数据的安全性和管理效率。Nacos提供了完善的权限管理机制,能够实现对配置管理和服务注册的精细化权限控制。
Nacos开启权限认证
weixin_58724261的博客
07-26 3003
【代码】Nacos开启权限认证。
Nacos—鉴权详解
深圳市多克创新科技有限公司
10-30 9509
Nacos—鉴权
从零开始,手打一个权限管理系统(第十四章 Nacos
ailot的专栏
05-16 201
Nacos是我们分布式服务架构中用到的动态服务发现、配置管理的中间件,具体可以参考Nacos官方简介,我用到的是Nacos Spring Cloud 版本,不熟悉的可以先了解一下
谷粒学院——Day18【权限管理Spring Security、配置中心Nacos、代码托管git】
Java技术一点通
01-09 3055
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。(2)用户授权。
nacos 为什么显示权限不足
03-24
### Nacos中权限不足问题的原因及解决方案 #### 原因分析 Nacos中的权限控制机制可能存在配置不当的情况,从而导致权限无法正常生效。以下是可能原因: 1. **默认账户权限过高** 默认情况下,Nacos提供了`nacos/nacos`作为初始登录账号,该用户的权限过大,可能导致其他自定义用户的角色权限被忽略[^1]。 2. **鉴权功能未启用或错误配置** 如果`application.properties`文件中关于鉴权的相关参数未正确设置,则可能会导致权限验证失效。例如: - `nacos.core.auth.enable.userAgentAuthWhite=true`表示启用了通过User-Agent头来判断请求来源的白名单模式,这可能导致某些请求绕过了正常的认证流程[^3]。 3. **身份验证密钥缺失或不匹配** 配置项`nacos.core.auth.server.identity.key`和`nacos.core.auth.server.identity.value`用于指定服务器的身份标识键值对。如果这些值为空或者与其他组件不符,也可能引发权限校验失败的问题[^2]。 4. **多租户支持下的角色绑定异常** 当创建新用户并分配特定角色时,如果没有正确关联到对应的命名空间或数据集上,那么即使设置了较低级别的访问权限,在实际操作过程中仍可能出现越权现象[^4]。 #### 解决方案 针对上述提到的各种潜在因素,可以采取如下措施加以改进和完善: 1. **调整默认管理员权限** 修改默认超级管理员密码,并减少其拥有的权利范围;同时建议按照业务需求新增若干具有不同职责分工的新用户及其对应权限组。 2. **严格开启全局认证开关** 编辑`conf/application.properties`文件,确保以下几处均处于关闭状态(即false),以杜绝任何未经许可就可进入内部资源的可能性: ```properties nacos.core.auth.system.type=native nacos.core.auth.enable=true nacos.core.auth.enable.userAgentAuthWhite=false ``` 3. **设定有效的服务端身份令牌** 定义好唯一的`serverIdentity`字符串变量名以及具体数值内容,保证前后两端能够相互识别彼此合法性: ```properties nacos.core.auth.server.identity.key=serverIdentity nacos.core.auth.server.identity.value=<your_custom_security_value> ``` 4. **精确映射各实体间关系** 对于每一个新建出来的普通成员来说,都应当明确指出其所归属的具体领域对象列表(比如某个微服务实例集合)。只有这样才可以实现精细化管理目标——让每个人只能看到自己应该知道的那一部分内容而已。 ```python # 示例代码片段展示如何动态加载外部属性源至springboot应用当中去 import org.springframework.boot.SpringApplication; import org.springframework.context.annotation.PropertySource; @PropertySource(value={"classpath:/custom-configs/${env}.properties"}, ignoreResourceNotFound=true) public class Application { public static void main(String[] args){ SpringApplication.run(Application.class, args); } } ```
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卡布奇诺-海晨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值