微服务架构学习笔记之一认证和授权

我们在搭建微服务的时候，常常需要考虑的一个问题是，微服务之间以及你的应用和微服务之间是怎么信任对方的。

这个时候我们会谈到两个概念，认证(authentication)和授权(authorization)。这是两个不同的概念，通俗点讲，认证是指系统需要确认你是谁？，而授权是指在通过认证之后，你能干什么？，多数场景下这里的“你”指的都是第三方应用程序。

认证

说到认证，我们可以先来了解下Http常用的一些认证方式。

Http Basic认证

其中最简单的是Http Basic认证方式，这种认证方式是讲用户名密码按照格式“用户名:密码”通过Base-64编码成一个hash值，然后通过Authorization header传递到服务端，然后服务端再通过同样的Base-64编码方式进行解码成为“用户名:密码”格式进行认证。

Authorization: Basic QWxhZGRpbjfdaGVuIHNlc2FtZQ==

这种认证方式的缺点就是需要在每个Http请求中将用户名密码在网络中进行传输，很容易被破解。而且如果每个Http请求都需要传输用户凭证的话，被破解的概率越高，所以这种认证方式通常需要结合Https进行使用。

Http Digest认证

而更为安全一点的认证方式是Http Digest认证方式，它也是通过Authorization header来进行传递的，但是算法会更加复杂和不可逆。

Authorization: Digest username="abc",
                     realm="testing@bb.com",
                     nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
                     uri="/index.html",
                     qop=auth,
                     nc=00000001,
                     cnonce="0a4f113b",
                     response="6629fae49393a05397450978507c4ef1",
                     opaque="5ccc069c403ebaf9f0171e9517f40e41"

Http Digest的认证过程为，当客户端第一次请求服务端资源时，服务端会返回一个随机数(nonce), 然后客户端会通过多次MD5加密来计算出来response的值 (response=MD5(HA1:nonce:HA2)), 其中HA1=MD5(username:realm:password), HA2=MD5(method:digestURI). 当服务端拿到这个response，那么它会从DB取出用户名密码来做同样的操作来看计算出来的response是否一致，如果一致，则表明认证通过。

这种认证方式也会有一定的局限性，那就是服务端不能不可逆的加密用户的密码。

Cookies & Session

由于上面认证方式的缺陷，所以现在常见的认证方式是只需要在第一次登陆请求中传递用户名密码，服务端在校验结束后生成一个session-id，并将这个session-id和用户关联，然后通过http response的cookie header返回给客户端，客户端只需要存储这个cookie并在后续的请求都带上这个cookie就可以。这样服务端也可以对用户的密码进行不可逆加密后存储。

这样的认证方式也会存在一些问题，比如如果web客户端不允许存储cookie呢？如果服务器down了，那么在cache中存储的session也会丢失。所以一般会采用Token的方式来进行认证，比如JWT。

授权

关于授权，现在最流行的就是OAuth2了，它是一个授权框架而不是一个认证框架，它的一个目的就是为了减少在各个请求中用户名密码的传递。关于什么是OAuth2，这里有一篇最简向导可以很快帮助你理解什么是OAuth2 - The Simplest Guide To OAuth 2.0。而关于OAuth2的几种workflow，上面那篇最简向导的作者也写了一篇，以图例的方式很详细的介绍了OAuth2实现的几种workflow - Diagrams And Movies Of All The OAuth 2.0 Flows

当我们知道了什么是OAuth2以及它的几种workflow后，我们就需要知道什么样的情况下需要采用哪种workflow。在极客时间的杨波老师给了一个流程图来帮助判断什么样的场景下需要采用哪种OAuth2的workflow，

如何选择OAuth2的workflow

授权服务器(Authorization Server)

authorization_code_flow.png

在OAuth2的四大角色中，我们最不熟悉的就是授权服务器了。因为app以及resource server就是我们平常开发的前端和后端，app会访问resource server的REST API去获取数据来展示。而授权服务器会是什么？它需要我们自己实现吗？

其实在微服务架构中，一般都需要有自己的一个授权服务器，它的作用主要是分发token给不同的调用方，然后它们可以使用这个token去访问相应的微服务。

我们可以把授权服务器看成是提供一组REST API的service：

授权API(/oauth/authorize) - 这个API会对调用方请求进行授权，返回一个authorization code。
获取Token API(/oauth/token) - 这个API会根据客户请求传入的authorization code来生成一个access token并返回。
校验Token API(/oauth/introspect) - 这个API一般会是resource server用来校验请求方的access token是否有效。
撤销Token API(/oauth/revoke) - 这个API 会把access token直接撤销。

大多数情况下我们都需要实现自己的authentication server，好在spring 框架提供了一个基于spring security 的oauth框架来帮助实现对应的authentication server, resource server 以及client。

spring-oauth.png

从上图可以看到，对于spring security提供的默认authorization server的默认实现，其实就是提供了两个endpoint - TokenEndpoint (提供/oauth/token api)和 AuthorizationEndpoint(提供/oauth/authorize api).

Authorization Server和Resource Server 实战

下面我们可以用spring boot来实现一个authorization server。注意：spring boot版本选用1.5.2.RELEASE 版本。

首先生成一个Springboot 工程，下面是运行主类和build.gradle 配置。

@SpringBootApplication
public class AuthserverApplication {
    public static void main(String[] args) {
        SpringApplication.run(AuthserverApplication.class, args);
    }
}

build.gradle

buildscript {
    ext {
        springBootVersion = '1.5.2.RELEASE'
    }
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}")
    }
}

apply plugin: 'java'
apply plugin: 'org.springframework.boot'
apply plugin: 'io.spring.dependency-management'

group = 'com.interview.authorization'
version = '0.0.1-SNAPSHOT'
sourceCompatibility = 1.8

repositories {
    mavenCentral()
}


dependencies {
    compile('org.springframework.boot:spring-boot-starter-security')
    compile('org.springframework.boot:spring-boot-starter-web')
    compile('org.springframework.security.oauth:spring-security-oauth2')

    testCompile('org.springframework.boot:spring-boot-starter-test')
    testCompile('org.springframework.security:spring-security-test')
}

上面的依赖文件主要是添加了spring security 和 spring security oauth2的依赖包。

接下来是enable authorization server的配置类，

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory().withClient("clientapp")
                .secret("123456").authorizedGrantTypes("authorization_code")
                .redirectUris("http://localhost:9000/callback").scopes("read_users");
    }
}

这里主要使用了@EnableAuthorizationServer注解来告诉spring框架自动配置一些关于AuthorizationEndpoint以及一些关于AuthorizationServer security的配置。同时，来配置访问的client的一些细节，

client - 实际上就是client id，要访问resource server的client，比如说mobile app or web page等等。
secret - 对应client的secret
grant type - 指的是实现oauth2的那几种workflow，authorization_code, implicit, password, client_credential
scopes - 授权的范围，可以自己定义一些字符串来表示。

最后需要在application.properties里面配置上访问/oauth/authorize 接口时需要的用户凭证 - 实际上就是resource owner的用户名，密码。

security.user.name=kevin
security.user.password=123

接下来我们可以启动spring boot程序，然后我们可以通过浏览器模拟client进行/oauth/authorize API的访问，

http://localhost:9090/oauth/authorize?client_id=clientapp&redirect_uri=http://localhost:9000/callback&response_type=code&scope=read_users

这时浏览器会提示输入用户的用户名和密码，就是我们配置在application.properties文件里面的username和password。

authentication-user.png

输入用户名密码后，Authorization Server会跳转到一个授权界面：

oauth_approval.png

当你确认授权后会自动跳转到callback url 并附带一个authorization code，

http://localhost:9000/callback?code=1TRZMN

拿到authorization code之后，我们可以通过postman来模拟发送POST请求到/oauth/token接口，

http://localhost:9090/oauth/token?code=1TRZMN&grant_type=authorization_code&redirect_uri=http://localhost:9000/callback&scope=read_users

同时要加上Authorization Header，采用的是basic的验证方式，用户名密码则是配置在AuthorizationServerConfiguration类里面的client和secret.

authorization-header.png

最后可以拿到用于访问resource server的access token：

{
    "access_token": "823c7d7e-8294-4288-b4c3-46358ccff0fd",
    "token_type": "bearer",
    "expires_in": 32884,
    "scope": "read_users"
}

接下来我们就可以创建我们的resource server了，它所依赖的lib跟authorization server一样，

dependencies {
    compile('org.springframework.boot:spring-boot-starter-security')
    compile('org.springframework.boot:spring-boot-starter-web')
    compile('org.springframework.security.oauth:spring-security-oauth2')
    testCompile('org.springframework.boot:spring-boot-starter-test')
    testCompile('org.springframework.security:spring-security-test')
}

同时，resource server本身会暴露一些REST API给client 调用，这个就是我们需要保护的资源，也就是说，在访问/api/users API时，需要通过oauth2认证才可以调用该API，如下：

@RestController
public class UserRestAPI {

    @RequestMapping("/api/users")
    public ResponseEntity<List<User>> getUsers(){
        List<User> users = new ArrayList<User>();
        users.add(new User("kevin",33));
        users.add(new User("joe",30));
        return ResponseEntity.ok(users);
    }
}

public class User {
    private String name;
    private int age;

    public User(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }
}

接下来我们会配置关于resource server的配置，

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated()
            .and().requestMatchers().antMatchers("/api/**");
    }

    @Primary
    @Bean
    public RemoteTokenServices tokenService(){
        RemoteTokenServices remoteTokenServices = new RemoteTokenServices();
        remoteTokenServices.setCheckTokenEndpointUrl("http://localhost:9090/oauth/check_token");
        remoteTokenServices.setClientId("clientapp");
        remoteTokenServices.setClientSecret("123456");
        return remoteTokenServices;
    }
}

首先是使用@EnableResourceServer注解，它会告诉spring框架自动配置一些关于resource server的配置，比如启用OAuth2AuthenticationProcessingFilter来检查进来的request有没有有效的accesstoken。

其次，我们需要配置那些request，那些API需要被认证后才能被访问。

最后，我们自己定义了一个RemoteTokenServices, 这个是用来跟Authorization Server进行打交道的，主要是用来校验发到resource server的accesstoken是否有效。在这个RemoteTokenServices中，我们需要传递clientId和clientSecret作为basic认证（Authorization Server需要), 它也指定了Authorization Server在哪里，需要访问的CheckTokenURL是什么。

如果这个时候你去访问resource server的API - /api/users 你会得到一个403 forbidden。因为你还没有在Authorization Server里面配置/oauth/check_token的访问权限，默认是"denyAll".

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory().withClient("clientapp")
                .secret("123456").authorizedGrantTypes("authorization_code")
                .redirectUris("http://localhost:9000/callback").scopes("read_users");
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.checkTokenAccess("isAuthenticated()");
    }
}

上面配置了/oauth/check_token的访问权限为必须是认证过的用户才可以访问 - security.checkTokenAccess("isAuthenticated()");
这个时候再去调用http://localhost:9091/api/users 就会返回正确的数据。

/api/users 调用结果

JWT token

在上面的实战中，可以看到，每次resource server在拿到access token后都需要连接到authorization server去检查access token是否有效。为了支持在resource server中进行access token的自校验，我们可以使用JWT token。同时，JWT token还可以包含更多的元数据，可以是自己定义的，比如userId等这些不敏感的信息。想要了解JWT token的一些细节，可以参考 JSON Web Token 入门教程。

参考文档

spring-security-oauth2参考文档
 微服务架构实战
 登陆工程:传统Web应用中的身份验证技术

最后编辑于：2018.08.09 15:14:49

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 203,179评论 5赞 476
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 85,229评论 2赞 380
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 150,032评论 0赞 336
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,533评论 1赞 273
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,531评论 5赞 365
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,539评论 1赞 281
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 37,916评论 3赞 395
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,574评论 0赞 256
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 40,813评论 1赞 296
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,568评论 2赞 320
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,654评论 1赞 329
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,354评论 4赞 318
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 38,937评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,918评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,152评论 1赞 259
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 42,852评论 2赞 349
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,378评论 2赞 342