当我们已经在API Gateway级别进行授权时,再次验证微服务级别的授权是一种好的做法吗?
在API Gateway级别进行授权是一种常见的安全措施,它可以在请求到达微服务之前进行初步的权限检查。然而,是否在微服务级别再次进行授权验证,这取决于你的应用场景和安全需求。
基础概念
- API Gateway:作为系统的入口,负责请求路由、协议转换、流量控制等。
- 微服务:将应用拆分成一组小的、独立的服务,每个服务运行在自己的进程中,通过轻量级机制通信。
为什么再次验证微服务级别的授权?
- 多层防护:即使API Gateway已经进行了授权,微服务级别的验证可以作为第二道防线,防止未授权访问。
- 细粒度控制:API Gateway可能只能进行粗粒度的权限检查,而微服务可以实现更细粒度的权限控制。
- 独立性:微服务可能由不同的团队维护,每个服务可能有自己独立的权限管理需求。
类型
- 基于角色的访问控制(RBAC):根据用户的角色来授权。
- 基于属性的访问控制(ABAC):根据用户属性、资源属性和环境条件来授权。
应用场景
- 高安全性要求的应用:如金融、医疗等领域的应用。
- 复杂权限管理:当应用需要复杂的权限控制逻辑时。
可能遇到的问题
- 性能问题:多次授权验证可能会增加系统的响应时间。
- 一致性问题:需要确保API Gateway和微服务之间的授权逻辑一致。
解决方案
- 缓存机制:在微服务中使用缓存来存储授权结果,减少重复验证的开销。
- 统一授权服务:将授权逻辑集中到一个独立的服务中,API Gateway和微服务都调用这个服务进行验证。
- 异步验证:对于一些不要求实时性的权限检查,可以采用异步方式进行。
示例代码
以下是一个简单的Python示例,展示如何在微服务中进行授权验证:
from flask import Flask, request, jsonify
app = Flask(__name__)
def is_authorized(user_id, resource_id):
# 这里可以调用授权服务进行验证
return True # 假设验证通过
@app.route('/resource', methods=['GET'])
def get_resource():
user_id = request.headers.get('User-Id')
resource_id = request.args.get('resource_id')
if not is_authorized(user_id, resource_id):
return jsonify({"error": "Unauthorized"}), 403
# 处理请求
return jsonify({"data": "Resource data"})
if __name__ == '__main__':
app.run(debug=True)参考链接
通过上述方法,你可以在API Gateway级别进行初步授权的同时,在微服务级别进行更细粒度的权限控制,从而提高系统的安全性。
相关·内容
我们正在尝试提出一个微服务架构,在这个架构中,我们需要确定在微服务级别实现授权是否是一个好的实践,而我们已经在网关级别实现了该级别的授权。我们使用KONG作为应用编程接口网关,它将与KeyCloak进行交互以进行授权。授权成功后,在资源级别
浏览 19提问于2021-08-15得票数 1
我通过API Gateway将调用路由到托管在AWS上的后端API。客户端请求包括一个JWT令牌,该令牌由lambda授权器验证,该授权器生成IAM策略,然后在到达API端点之前由API网关缓存该策略。我想添加另一个lambda函数来对请求进行一些验证,该验证与lambda授权器所做的jwt令牌验证是分开<em
浏览 0提问于2019-01-03得票数 1
1回答
我的想法是让SSO网关处理用户对网站和API的访问,使用OAuth或OpenID连接对最终用户进行身份验证。
在此之后,对于任何API URL,都是API网关。客户端凭据与其说是安全性,不如说是对API函数的粗粒度访问,给出了API使用、流量整形、SLA等的可见性,但是需要用户身份来执行下游的数据级授权。我看过的</em
浏览 0提问于2015-07-21得票数 2
回答已采纳
1回答
我正在考虑在我的微服务之上使用一个api网关。但有一些建筑问题,我没有明确的答案,所以我想征求社区的意见。此外,如果你能分享你对好的和坏的做法的想法,那就太好了。问题问题主要是什么是网关:它只是api用户和微服务之间的桥梁吗?或者<em
浏览 1提问于2018-06-05得票数 2
我已经使用Spring Boot1.5.x+ OAuth2和JWT开发了一组微服务(资源服务器)。现在,每个微服务都使用Spring Security进行保护,即在单个资源服务器级别验证JWT访问令牌。API Gateway没有适当的spring安全性,因此它只是将请求路由到适当的服务器,并将身份验证头传播到下游服务。我想知道与只在API
浏览 23提问于2018-07-26得票数 5
回答已采纳
不幸的是,在20分钟的不活动之后,我从随后对服务器的调用中得到401个未经授权的响应,直到我退出应用程序并再次登录(或者更具体地说,直到我再次用用户名和密码调用登录API )。这个挑战是成功的,应用程序进行得很好。在20分钟的不活动之后,下一个API调用将再次触发此委托方法。这有几个问题:通过会话级别的
浏览 2提问于2014-12-17得票数 0
回答已采纳
有办法在Java代码中唯一地识别我的Android应用程序吗?也许是包名和其他东西的组合?我知道有一种方法可以识别出一个独特的安卓,但这不是我想要的。我希望能够唯一地识别我制作的Android应用程序,这样我就可以将这些信息传递给我自己的私有RESTful API。这将允许我验证这个调用来自我的Android应用程序,而不是另一个未经授权的应用程序。我希望我<em
浏览 6提问于2015-08-25得票数 11
1回答
我正在为我的团队的遗留API客户端系统构建最初的单元测试集。我们一直在编写集成测试,但没有单元测试。模拟我们的API客户端类方法,以检查到达API客户端类方法时如何处理和格式化到服务器端点的输入数据。类似地
浏览 0提问于2020-08-28得票数 -1
我的任务是实现一个登录处理程序。处理程序捕获的唯一详细信息是用户名和密码。最初,我打算使用一个发布到servlet的JSP。其中servlet执行db查找并且还验证用户凭证。成功登录后,您将被重定向,但如果登录失败,您将返回到jsp并显示相应的错误消息。我会从中获得什么好处,哪一个最适合我的任务?
浏览 0提问于2008-09-23得票数 4
1回答
我使用的是认知,API网关和授权器。为了提高性能,授权程序被配置为缓存5分钟。我觉得这是个不错的特征。
我知道授权人是一个很好的方法,可以把逻辑保持在一个地方,并且应用程序可以假定用户已经被授权了。所以为了安全起见,我不应该启用授权程序缓存?这也意味着所有经过身份验证的API都需要通过lambda授权程序的一次
浏览 1提问于2018-12-17得票数 2
回答已采纳
2回答
什么是对windows mobile app进行凭证检查的好方法。知道它是一个偶尔连接的设备。如果两者都失败了,那么会显示一条错误消息?这是一种好的方法吗?
浏览 1提问于2010-05-20得票数 0
回答已采纳
我们公司有一个仅供员工在内部使用的web应用程序。我们也有Google高级版。我们想做,以便我们的员工可以登录到我们的私人网络应用程序使用谷歌应用程序帐户,他们已经拥有。要求:我们想显示我们自己的登录表单。我们不想通过互联网传递纯文本的电子邮件/密码。
我们应该使用哪种身份验证机制来实现这一点?注意:我们</e
浏览 2提问于2010-06-29得票数 0
我目前的Android应用程序要求用户使用用户名和密码登录。但是,我的服务器端是用.NET编写的,就我对Jasypt文档的理解而言,密码加密器使用的是随机盐。
如何让我的服务</e
浏览 6提问于2019-01-01得票数 4
这是我的URLs.py: namespace当单击submit按钮时,AngularJS通过用户对象(用户名和密码)向“auth/login/”发送一个POST请求:
$http.post("/api-auth/login/", self.log
浏览 6提问于2015-09-22得票数 5
回答已采纳
3回答
我引用了另一篇关于如何使用JWT刷新令牌的文章。
我希望我的JWT身份验证具有以下属性:
客户端每小时刷新一次令牌。我看到很多人声称使用刷新令牌的概念使这成为一种<
浏览 9提问于2015-08-17得票数 91
1回答
这些应用程序将允许用户使用facebook登录以及我们自己的电子邮件身份验证。你可以参考下面的图表来理解我的设计有两个级别的授权:
首先是使用OAuth2的“客户端(或应用程序)授权”。如果我对其进行加密,我仍然需要在我的系统中的某个地方保存加密密钥。那么它将如何使它安全呢?在每个呼叫中,解密也是一种开销。API服务器获取该令牌并调用
浏览 0提问于2015-05-14得票数 10
15回答
认证与授权
、、
web应用程序的上下文有什么不同?我经常看到缩写"auth“。它代表auth-entication还是auth-orization??还是两者都有?
浏览 14提问于2011-07-02得票数 700
回答已采纳
我有一个Firebase应用程序,这是一个基本的博客网站。我不会对普通用户进行任何身份验证。但我需要一种方法来验证和/或授权admin创建博客文章。PS:我知道这不是刻意隐藏的,但我的意思是它不能通过点击访问。
当admin点击该URL时,它们将提供username和password,并将被授予访问管理面板和为博客创建帖子的权限。我主要担心的是,任何恶意
浏览 0提问于2019-06-11得票数 0
回答已采纳
17回答
草案OAuth 2.0协议的4.2节指出,授权服务器既可以返回access_token (用于向资源进行自我认证),也可以返回纯粹用于创建新access_token的refresh_token
为什么两者都有
浏览 5提问于2010-08-15得票数 744
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
