在微服务架构中,如果忽略服务的安全性,任由接口暴露在网络中,一旦遭受攻击后果是不可想象的、

保护微服务键安全的常见方案有:1.JWT令牌(token) 2.双向SSL 3.OAuth 2.0 等

本文主要介绍使用Token的实现方式

源码地址:https://github.com/Mike-Zrw/TokenApiAuth

基本流程:

上图中有两个服务,服务A和服务B,我们模拟的是服务A来调用服务B的过程,也可以反过来让服务B来调用服务A。

整个流程简单来说只有两步

  • 获取token
  • 携带token请求数据

详细流程为

  1. 客户端请求服务B
  2. 客户端检测本地缓存是否有服务B的token缓存
  3. 客户端检测本地不存在对应的token缓存或者token缓存已超时,则调用接口重新获取token
  4. 客户端调用接口获取token,参数为:时间戳+请求身份标识10位+guid,用rsa非对称加密
  5. 服务B获取客户端获取token的请求,用ras密钥解密客户端的参数,验证请求是否超时以及标识是否有效
  6. 服务端验证客户端参数有效则生成token,返回给客户端,token为一个包含了用户名称,过期时间等字段的加密字符串
  7. 客户端接收到token将token存入本地缓存
  8. 客户端将加密的token放入HTTP header中像服务端请求获取数据
  9. 服务端验证客户端的HTTP header中的token信息是否有效,如果有效,则成功返回数据

获取token

服务端会提供一个产生token的接口供客户端来调用,而对于调用该接口的请求同样需要认证,否则岂不是所有人都可以随意调用该接口来生成token了。

我的思路是每个客户端会有一个权限标识,可以是一样的。然后将权限,时间戳和一个随机数组成一个字符串,然后将该字符串以非对称加密。加密后的字符就是调用接口的参数了

在token生成的服务端,会解密客户端传来的数据,并进行权限及时间的校验,验证通过就会生成一个token,该token包含了用户信息及过期时间等数据,然后用HA256加密返回给客户端

一个token包含的结构如下

public class TokenClaims

{

    /// <summary>

    /// token的发行者

    /// </summary>

    public string Iss { get; set; }

    /// <summary>

    /// 用户权限

    /// </summary>

    public string Role { get; set; }

    /// <summary>

    /// 用户名

    /// </summary>

    public string Usr { get; set; }

    /// <summary>

    /// 签发时间 秒,时间点

    /// </summary>

    public long Iat { get; set; }

    /// <summary>

    /// 到期时间 秒,时间点

    /// </summary>

    public long Exp { get; set; }

    /// <summary>

    /// 唯一标识

    /// </summary>

    public string SingleStr { get; set; }

}

其中用户名是服务端生成的,服务端会将该用户名作为键,将该token存储到缓存中。 所以对于每一个请求都会生成一个唯一的用户名

    public static TokenResult MakeToken(string RequestParam, string PrimaryKey = null)

    {

        try

        {

            dynamic p = JsonConvert.DeserializeObject(RequestParam);

            string RequestAuth = p.RequestAuth;//请求人信息

            string DesAuth;//解密后的author

            if (PrimaryKey == null)

                DesAuth = RSAHelper.Decrypt(RequestAuth, Config_PrimaryKey);

            else

                DesAuth = RSAHelper.Decrypt(RequestAuth, PrimaryKey);

            #region 请求历史是否有重复

            if (MakeTokenParamHistory.Contains(DesAuth))

            {

                ToolFactory.LogHelper.Info("生成token身份验证失败:该请求的字符串与之前重复:" + DesAuth);

                return new TokenResult() { Success = false, Error_Message = "请求数据非法" };

            }

            MakeTokenParamHistory.Insert(0, DesAuth);

            if (MakeTokenParamHistory.Count > 1000)

                MakeTokenParamHistory.RemoveRange(1000, MakeTokenParamHistory.Count - 1000);

            #endregion

            string ReqAuthId = DesAuth.Substring(DesAuth.Length - 46, 10);//请求人身份标识

            long reqTimespan = long.Parse(DesAuth.Substring(0, DesAuth.Length - 46));  //客户端请求时间秒数

            if (!ValidTokenAuth(ReqAuthId))

            {

                ToolFactory.LogHelper.Info("生成token身份验证失败:DesAuth" + DesAuth);

                return new TokenResult() { Success = false, Error_Message = "身份验证失败" };

            }

            if ((TimeHelper.GetTimeSecond() - reqTimespan) > ReqToken_OverTime)

            {

                ToolFactory.LogHelper.Info("生成token请求时间超时:DesAuth" + DesAuth);

                return new TokenResult() { Success = false, Error_Message = "请求时间超时" };

            }

            string uname = TokenBuilder.CreateUserName(ReqAuthId);

            long TokenOverTime = Token_OverTime;

            if (AuthMapOverTime != null && AuthMapOverTime.ContainsKey(ReqAuthId))

                TokenOverTime = AuthMapOverTime[ReqAuthId];

            string tokenStr = TokenBuilder.MakeToken(uname, ReqAuthId, TokenOverTime);

            ToolFactory.LogHelper.Notice("生成token:" + tokenStr);

            ToolFactory.CacheHelper.SetCache("ServiceTokenCacheKey_" + uname, tokenStr, TimeSpan.FromSeconds(TokenOverTime + 30)); //多存30秒,用于判断token的错误类型

            return new TokenResult() { Success = true, Token = tokenStr }; ;

        }

        catch (Exception ex)

        {

            ToolFactory.LogHelper.Error("生成token出现异常", ex);

            return new TokenResult() { Success = false, Error_Message = "错误的请求:" + ex.Message };

        }

    }

请求数据

对于携带token的请求,我将token放在http的header中,尽量减少验证对于业务代码的侵入性。

服务端将token取出,并或得token中存储的用户名,然后将服务端缓存的数据取出来判断该token是否有效

    /// <summary>

    /// 验证客户端发来的token是否有效

    /// </summary>

    /// <param name="header"></param>

    /// <returns></returns>

    public static ValidTokenResult ValidClientToken(HttpRequestHeaders header)

    {

        if (header.Authorization == null || header.Authorization.Parameter == null)

        {

            return new ValidTokenResult() { Success = false, Message = "not exit token" };

        }

        string tokenStr = header.Authorization.Parameter;

        //ToolFactory.LogHelper.Notice("接收到带token的请求:" + tokenStr);

        TokenClaims tcParam = TokenBuilder.DecodeToken(tokenStr);

        TokenClaims tcCache = TokenBuilder.DecodeToken(ToolFactory.CacheHelper.GetCache<string>("ServiceTokenCacheKey_" + tcParam.Usr));

        if (tcCache != null)

        {

            if (TokenIsTimeLoss(tcCache.Exp))

            {

                ToolFactory.LogHelper.Info("token过时,token:" + tokenStr);

                return new ValidTokenResult() { Success = false, Message = "token过时" };

            }

            else if (tcCache.SingleStr != tcParam.SingleStr)

            {

                ToolFactory.LogHelper.Info("token不正确,token:" + tokenStr);

                return new ValidTokenResult() { Success = false, Message = "token不正确" };

            }

            else

            {

                return new ValidTokenResult() { Success = true };

            }

        }

        else

        {

            ToolFactory.LogHelper.Info("ValidClientToken未授权的用户,token:" + tokenStr);

            return new ValidTokenResult() { Success = false, Message = "未授权的用户" };

        }

    }

整个验证框架的主要流程大概就是这样,当然还有很多细节,比如缓存的刷新,请求超时配置等等,有兴趣的可以到github下载具体代码~~~

用Token令牌维护微服务之间的通信安全的实现的更多相关文章

  1. JHipster技术栈定制 - 基于UAA的微服务之间安全调用

    本文通过代码实例演示如何通过UAA实现微服务之间的安全调用. uaa: 身份认证服务,同时也作为被调用的资源服务.服务端口9999. microservice1: 调用uaa的消费者服务,服务端口80 ...

  2. spring cloud实战与思考(二) 微服务之间通过fiegn上传一组文件(上)

    需求场景: 微服务之间调用接口一次性上传多个文件. 上传文件的同时附带其他参数. 多个文件能有效的区分开,以便进行不同处理. Spring cloud的微服务之间接口调用使用Feign.原装的Feig ...

  3. spring cloud实战与思考(三) 微服务之间通过fiegn上传一组文件(下)

    需求场景: 用户调用微服务1的接口上传一组图片和对应的描述信息.微服务1处理后,再将这组图片上传给微服务2进行处理.各个微服务能区分开不同的图片进行不同处理. 上一篇博客已经讨论了在微服务之间传递一组 ...

  4. SOA和微服务之间的区别

    近几年,我们有很多文章对SOA和微服务之间的不同点和相似点进行了分析.有些人认为SOA有很多地方是值得微服务学习的,而有些人则认为区别对待微服务和SOA会更好.而Neal Ford认为,将单体迁移到面 ...

  5. SpringCloud实战 | 第五篇:SpringCloud整合OpenFeign实现微服务之间的调用

    一. 前言 微服务实战系列是基于开源微服务项目 有来商城youlai-mall 版本升级为背景来开展的,本篇则是讲述SpringCloud整合OpenFeign实现微服务之间的相互调用,有兴趣的朋友可 ...

  6. 微服务之间如何共享DTO?

    1. 概述 近些年来,微服务变得越来越流行.微服务基本特征是模块化.独立.易于扩展的.它们之间需要协同工作并交换数据.为了实现这一点,我们创建了名为 DTO 的共享数据传输对象.在本文中,我们将介绍在 ...

  7. Restful、SOAP、RPC、SOA、微服务之间的区别

    什么是Restful Restful是一种架构设计风格,提供了设计原则和约束条件,而不是架构,而满足这些约束条件和原则的应用程序或设计就是 Restful架构或服务. 主要的设计原则: 资源与URI ...

  8. 服务注册中心之ZooKeeper系列(二) 实现一个简单微服务之间调用的例子

    上一篇文章简单介绍了ZooKeeper,讲了分布式中,每个微服务都会部署到多台服务器上,那服务之间的调用是怎么样的呢?如图: 1.集群A中的服务调用者如何发现集群B中的服务提供者呢? 2.集群A中的服 ...

  9. SpringBoot+SpringCloud实现登录用户信息在微服务之间的传递

    实现思路: 1:准备一个ThreadLocal变量,供线程之间共享. 2:每个微服务对所有过来的Feign调用进行过滤,然后从请求头中获取User用户信息,并存在ThreadLocal变量中. 3:每 ...

随机推荐

  1. redis主从配置+哨兵模式

    1.搭建redis主从,一个master两个slave,加一个哨兵监听(sentinel),可以新建三个虚拟机,模拟环境,我的电脑没那么多虚拟机,就在一台虚拟机上弄的. 2.安装redis,如果是三台 ...

  2. .Net 异步方法, await async 使用

    最近朋友问起await  和 async第一次听说这个await ,就查了一下这个await使用在于 异步方法async 中,中文意思就是等待,经过一系列的百度参考简单的明白了这个东西的意思,  异步 ...

  3. bootstrap表格固定表头,表格内容滚动条滚动显示

    直接贴代码--- <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> < ...

  4. Android开发——diglog cancel与dismiss方法区别

    AlertDialog dismiss 和 cancel方法的区别   AlertDialog使用很方便,但是有一个问题就是:dismiss方法和cancel方法到底有什么不同? 今天有时间,看了看源 ...

  5. 【python】递归(阶乘、斐波纳契、汉诺塔)

  6. 转:iOS开发之多种Cell高度自适应实现方案的UI流畅度分析

    本篇博客的主题是关于UI操作流畅度优化的一篇博客,我们以TableView中填充多个根据内容自适应高度的Cell来作为本篇博客的使用场景.当然Cell高度的自适应网上的解决方案是铺天盖地呢,今天我们的 ...

  7. 推荐:让你快速搞定各服务端(api,pc,mobile,wechat)代码

    如果你在写服务端 (PHP) ,会因为项目须求(做app.pc.mobiel.微信) 而写几套代码的,你不觉得很累吗? 现在的很多开源框架商用版本在做程序方面都是这么一套一套的,维护起来,二开起来特别 ...

  8. ES6 Proxy和Reflect (上)

    Proxy概述 Proxy用于修改某些操作的默认行为,等同于在语言层面做出修改,所以属于一种"元编程"(meta programming),即对编程语言进行编程. Proxy可以理 ...

  9. install pytorch

    1. install and update pip3 2. install numpy and scipy 3. install pytorch

  10. springCloud系列教程01:Eureka 注册中心集群搭建

    springCloud系列教程包含如下内容: springCloud系列教程01:Eureka 注册中心集群搭建 springCloud系列教程02:ConfigServer 配置中心server搭建 ...