在微服务架构中,如果忽略服务的安全性,任由接口暴露在网络中,一旦遭受攻击后果是不可想象的、

保护微服务键安全的常见方案有:1.JWT令牌(token) 2.双向SSL 3.OAuth 2.0 等

本文主要介绍使用Token的实现方式

源码地址:https://github.com/Mike-Zrw/TokenApiAuth

基本流程:

上图中有两个服务,服务A和服务B,我们模拟的是服务A来调用服务B的过程,也可以反过来让服务B来调用服务A。

整个流程简单来说只有两步

  • 获取token
  • 携带token请求数据

详细流程为

  1. 客户端请求服务B
  2. 客户端检测本地缓存是否有服务B的token缓存
  3. 客户端检测本地不存在对应的token缓存或者token缓存已超时,则调用接口重新获取token
  4. 客户端调用接口获取token,参数为:时间戳+请求身份标识10位+guid,用rsa非对称加密
  5. 服务B获取客户端获取token的请求,用ras密钥解密客户端的参数,验证请求是否超时以及标识是否有效
  6. 服务端验证客户端参数有效则生成token,返回给客户端,token为一个包含了用户名称,过期时间等字段的加密字符串
  7. 客户端接收到token将token存入本地缓存
  8. 客户端将加密的token放入HTTP header中像服务端请求获取数据
  9. 服务端验证客户端的HTTP header中的token信息是否有效,如果有效,则成功返回数据

获取token

服务端会提供一个产生token的接口供客户端来调用,而对于调用该接口的请求同样需要认证,否则岂不是所有人都可以随意调用该接口来生成token了。

我的思路是每个客户端会有一个权限标识,可以是一样的。然后将权限,时间戳和一个随机数组成一个字符串,然后将该字符串以非对称加密。加密后的字符就是调用接口的参数了

在token生成的服务端,会解密客户端传来的数据,并进行权限及时间的校验,验证通过就会生成一个token,该token包含了用户信息及过期时间等数据,然后用HA256加密返回给客户端

一个token包含的结构如下

public class TokenClaims

{

    /// <summary>

    /// token的发行者

    /// </summary>

    public string Iss { get; set; }

    /// <summary>

    /// 用户权限

    /// </summary>

    public string Role { get; set; }

    /// <summary>

    /// 用户名

    /// </summary>

    public string Usr { get; set; }

    /// <summary>

    /// 签发时间 秒,时间点

    /// </summary>

    public long Iat { get; set; }

    /// <summary>

    /// 到期时间 秒,时间点

    /// </summary>

    public long Exp { get; set; }

    /// <summary>

    /// 唯一标识

    /// </summary>

    public string SingleStr { get; set; }

}

其中用户名是服务端生成的,服务端会将该用户名作为键,将该token存储到缓存中。 所以对于每一个请求都会生成一个唯一的用户名

    public static TokenResult MakeToken(string RequestParam, string PrimaryKey = null)

    {

        try

        {

            dynamic p = JsonConvert.DeserializeObject(RequestParam);

            string RequestAuth = p.RequestAuth;//请求人信息

            string DesAuth;//解密后的author

            if (PrimaryKey == null)

                DesAuth = RSAHelper.Decrypt(RequestAuth, Config_PrimaryKey);

            else

                DesAuth = RSAHelper.Decrypt(RequestAuth, PrimaryKey);

            #region 请求历史是否有重复

            if (MakeTokenParamHistory.Contains(DesAuth))

            {

                ToolFactory.LogHelper.Info("生成token身份验证失败:该请求的字符串与之前重复:" + DesAuth);

                return new TokenResult() { Success = false, Error_Message = "请求数据非法" };

            }

            MakeTokenParamHistory.Insert(0, DesAuth);

            if (MakeTokenParamHistory.Count > 1000)

                MakeTokenParamHistory.RemoveRange(1000, MakeTokenParamHistory.Count - 1000);

            #endregion

            string ReqAuthId = DesAuth.Substring(DesAuth.Length - 46, 10);//请求人身份标识

            long reqTimespan = long.Parse(DesAuth.Substring(0, DesAuth.Length - 46));  //客户端请求时间秒数

            if (!ValidTokenAuth(ReqAuthId))

            {

                ToolFactory.LogHelper.Info("生成token身份验证失败:DesAuth" + DesAuth);

                return new TokenResult() { Success = false, Error_Message = "身份验证失败" };

            }

            if ((TimeHelper.GetTimeSecond() - reqTimespan) > ReqToken_OverTime)

            {

                ToolFactory.LogHelper.Info("生成token请求时间超时:DesAuth" + DesAuth);

                return new TokenResult() { Success = false, Error_Message = "请求时间超时" };

            }

            string uname = TokenBuilder.CreateUserName(ReqAuthId);

            long TokenOverTime = Token_OverTime;

            if (AuthMapOverTime != null && AuthMapOverTime.ContainsKey(ReqAuthId))

                TokenOverTime = AuthMapOverTime[ReqAuthId];

            string tokenStr = TokenBuilder.MakeToken(uname, ReqAuthId, TokenOverTime);

            ToolFactory.LogHelper.Notice("生成token:" + tokenStr);

            ToolFactory.CacheHelper.SetCache("ServiceTokenCacheKey_" + uname, tokenStr, TimeSpan.FromSeconds(TokenOverTime + 30)); //多存30秒,用于判断token的错误类型

            return new TokenResult() { Success = true, Token = tokenStr }; ;

        }

        catch (Exception ex)

        {

            ToolFactory.LogHelper.Error("生成token出现异常", ex);

            return new TokenResult() { Success = false, Error_Message = "错误的请求:" + ex.Message };

        }

    }

请求数据

对于携带token的请求,我将token放在http的header中,尽量减少验证对于业务代码的侵入性。

服务端将token取出,并或得token中存储的用户名,然后将服务端缓存的数据取出来判断该token是否有效

    /// <summary>

    /// 验证客户端发来的token是否有效

    /// </summary>

    /// <param name="header"></param>

    /// <returns></returns>

    public static ValidTokenResult ValidClientToken(HttpRequestHeaders header)

    {

        if (header.Authorization == null || header.Authorization.Parameter == null)

        {

            return new ValidTokenResult() { Success = false, Message = "not exit token" };

        }

        string tokenStr = header.Authorization.Parameter;

        //ToolFactory.LogHelper.Notice("接收到带token的请求:" + tokenStr);

        TokenClaims tcParam = TokenBuilder.DecodeToken(tokenStr);

        TokenClaims tcCache = TokenBuilder.DecodeToken(ToolFactory.CacheHelper.GetCache<string>("ServiceTokenCacheKey_" + tcParam.Usr));

        if (tcCache != null)

        {

            if (TokenIsTimeLoss(tcCache.Exp))

            {

                ToolFactory.LogHelper.Info("token过时,token:" + tokenStr);

                return new ValidTokenResult() { Success = false, Message = "token过时" };

            }

            else if (tcCache.SingleStr != tcParam.SingleStr)

            {

                ToolFactory.LogHelper.Info("token不正确,token:" + tokenStr);

                return new ValidTokenResult() { Success = false, Message = "token不正确" };

            }

            else

            {

                return new ValidTokenResult() { Success = true };

            }

        }

        else

        {

            ToolFactory.LogHelper.Info("ValidClientToken未授权的用户,token:" + tokenStr);

            return new ValidTokenResult() { Success = false, Message = "未授权的用户" };

        }

    }

整个验证框架的主要流程大概就是这样,当然还有很多细节,比如缓存的刷新,请求超时配置等等,有兴趣的可以到github下载具体代码~~~

用Token令牌维护微服务之间的通信安全的实现的更多相关文章

  1. JHipster技术栈定制 - 基于UAA的微服务之间安全调用

    本文通过代码实例演示如何通过UAA实现微服务之间的安全调用. uaa: 身份认证服务,同时也作为被调用的资源服务.服务端口9999. microservice1: 调用uaa的消费者服务,服务端口80 ...

  2. spring cloud实战与思考(二) 微服务之间通过fiegn上传一组文件(上)

    需求场景: 微服务之间调用接口一次性上传多个文件. 上传文件的同时附带其他参数. 多个文件能有效的区分开,以便进行不同处理. Spring cloud的微服务之间接口调用使用Feign.原装的Feig ...

  3. spring cloud实战与思考(三) 微服务之间通过fiegn上传一组文件(下)

    需求场景: 用户调用微服务1的接口上传一组图片和对应的描述信息.微服务1处理后,再将这组图片上传给微服务2进行处理.各个微服务能区分开不同的图片进行不同处理. 上一篇博客已经讨论了在微服务之间传递一组 ...

  4. SOA和微服务之间的区别

    近几年,我们有很多文章对SOA和微服务之间的不同点和相似点进行了分析.有些人认为SOA有很多地方是值得微服务学习的,而有些人则认为区别对待微服务和SOA会更好.而Neal Ford认为,将单体迁移到面 ...

  5. SpringCloud实战 | 第五篇:SpringCloud整合OpenFeign实现微服务之间的调用

    一. 前言 微服务实战系列是基于开源微服务项目 有来商城youlai-mall 版本升级为背景来开展的,本篇则是讲述SpringCloud整合OpenFeign实现微服务之间的相互调用,有兴趣的朋友可 ...

  6. 微服务之间如何共享DTO?

    1. 概述 近些年来,微服务变得越来越流行.微服务基本特征是模块化.独立.易于扩展的.它们之间需要协同工作并交换数据.为了实现这一点,我们创建了名为 DTO 的共享数据传输对象.在本文中,我们将介绍在 ...

  7. Restful、SOAP、RPC、SOA、微服务之间的区别

    什么是Restful Restful是一种架构设计风格,提供了设计原则和约束条件,而不是架构,而满足这些约束条件和原则的应用程序或设计就是 Restful架构或服务. 主要的设计原则: 资源与URI ...

  8. 服务注册中心之ZooKeeper系列(二) 实现一个简单微服务之间调用的例子

    上一篇文章简单介绍了ZooKeeper,讲了分布式中,每个微服务都会部署到多台服务器上,那服务之间的调用是怎么样的呢?如图: 1.集群A中的服务调用者如何发现集群B中的服务提供者呢? 2.集群A中的服 ...

  9. SpringBoot+SpringCloud实现登录用户信息在微服务之间的传递

    实现思路: 1:准备一个ThreadLocal变量,供线程之间共享. 2:每个微服务对所有过来的Feign调用进行过滤,然后从请求头中获取User用户信息,并存在ThreadLocal变量中. 3:每 ...

随机推荐

  1. 自学Python3.1-函数基础

    一.函数概述 1. 简介 函数是组织好的,可重复使用的,用来实现单一,或相关联功能的代码段.函数能提高应用的模块性,和代码的重复利用率. 2. 组成 函数代码块以 def 关键词开头,后接函数名和圆括 ...

  2. 前端MVC Vue2学习总结(二)——Vue的实例、生命周期与Vue脚手架(vue-cli)

    一.Vue的实例 1.1.创建一个 Vue 的实例 每个 Vue 应用都是通过 Vue 函数创建一个新的 Vue 实例开始的: var vm = new Vue({ // 选项 }) 虽然没有完全遵循 ...

  3. java表单重复提交常用解决办法

    最近在看些基础的东西,顺便做下笔记.相信大家在平时网页使用中,经常会有按钮重复点击,然后点不动刷新,还有当网络延时比较厉害点了没反应在点击的重复提交.为了避免这种情况,总结了一下4点处理方案 表单重复 ...

  4. 【java设计模式】【行为模式Behavioral Pattern】模板方法模式Template Method Pattern

    package com.tn.pattern; public class Client { public static void main(String[] args) { AbstractClass ...

  5. UML2和建模工具学习总结

    软件发展的方向:CS–>BS–>SOA–>BIG DATA 建模的含义: 模型是对现实的简化 从特点视角对系统的一个完整性描述 建模的重要性: 为了更好的理解一个系统 管理复杂度(也 ...

  6. SQL Server 数据库引擎怎样记录完整备份后修改过的数据

    SQL Server 使用两个内部数据结构跟踪被大容量复制操作修改的区,以及自上次完整备份后修改的区.这些数据结构极大地加快了差异备份的速度.当数据库使用大容量日志恢复模式时,这些数据结构也可以加快将 ...

  7. coursera 视频总是缓冲或者无法观看的解决办法

    注意!!!该方法针对Windows用户,亲测有效. 1.用管理员权限记事本打开host文件 2.将如下内容复制到文件末尾 52.84.246.90 d3c33hcgiwev3.cloudfront.n ...

  8. bzoj 4872: [Shoi2017]分手是祝愿

    Description Zeit und Raum trennen dich und mich. 时空将你我分开.B 君在玩一个游戏,这个游戏由 n 个灯和 n 个开关组成,给定这 n 个灯的初始状态 ...

  9. 深入学习rollup来进行打包

    深入学习rollup来进行打包 阅读目录 一:什么是Rollup? 二:如何使用Rollup来处理并打包JS文件? 三:设置Babel来使旧浏览器也支持ES6的代码 四:添加一个debug包来记录日志 ...

  10. lesson - 3 ls /cd /path /alias /快捷键

    内容概要: 1. 命令ls -l   详细信息-a  查看隐藏的文件或目录-d   只看目录本身,不列出目录下面的文件和目录-t 以时间先后排序 2  目录结构/bin, /sbin, /usr/bi ...