Java アーキテクチャ - SpringCloud 分散アーキテクチャ権限管理

概要

この記事では、分散アーキテクチャの権限管理の 2 つの状況、つまり統合認証アクセスとクロスプラットフォームインターフェイスアクセスについて説明します。

[[271166]]

分散アーキテクチャでは、ビジネスが独立したサブビジネスまたはサブプラットフォームに分割されますが、多くの場合、同じプラットフォーム上で統合された認証とシングルサインオンが行われます。クライアントにとってはプラットフォーム全体がひとつとなり、統一された認可アクセス権限管理となります。ただし、複数のプラットフォームが連携する状況が発生する場合があります。この場合、他のプラットフォームのアーキテクチャを考慮する必要はありません。それらに接続するためのデータインターフェースを提供するだけで済みます。この場合、クロスプラットフォームインターフェースアクセスの権限管理を考慮する必要があります。

1. 統合認証アクセス

フロントエンドでは、nginx や haproxy などの Web サーバーを使用します。第 1 層のリバースプロキシとして Nginx が使用され、第 2 層のリバースプロキシとして zuul が使用されます。 2 層リバースプロキシは、基本的に一般的なネットワーク侵入やクローラーに簡単に対処できます。この前提の下で、インターフェース認証やアクセスセキュリティなどの問題に対処し、クライアントとサーバーの両方でセキュリティ制御を実行する必要があります。

1. ユーザーはユーザー名とパスワードを使用してログイン要求を開始します。認証コード、SMS認証、WeChat認証などを使用することでセキュリティレベルを向上させることができます。ログインリクエストは許可センターのZUULにアクセスします。

2. ZUULから権限センターのSERVICEへのリバースプロキシ。

3. ユーザーとロールの情報を照会し、クエリのマッチングを実行します。

4. クエリ結果が得られると、ユーザーのステータス、ユーザー、役割、権限情報などのフィードバックが提供されます。

5. TOKEN を生成します。 TOKEN アルゴリズムは自分で記述する必要があります。暗号化のためにタイムスタンプやその他の情報を追加することをお勧めします。 SESSION に保存するか、REDIS に直接保存します。分散アーキテクチャで SESSION を共有するには、SESSION 共有プールが必要であるため、通常は SESSION に保存することをお勧めします。 SESSION の共有プールは一般的に REDIS で行われ、SESSION は SESSIONID を使用して一意のユーザーを確認できるため、より便利です。

6. ユーザー、ロール、および権限情報をクライアントに返します。

7. ブラウザクライアントは、取得したユーザー、ロール、権限情報を通じてフロントエンド機能とメニューをレンダリングし、許可されていない機能を隠し、この情報に基づいてフロントエンド検証を実行できます。ただし、この検証はクライアント側で行われるため、改ざんされやすいという欠点があります。基本的な保護しか実行できませんが、必要です。

8. ブラウザクライアントはサーバーにビジネスリクエストを送信します。リクエストには、クライアントメニューまたは機能の権限情報が付随します。サーバーは、ZUUL インターセプターを介してビジネスリクエストをインターセプトし、SESSION 共有プールにアクセスします。

9. 次に、SESSIONID を通じて TOKEN 情報を取得し、TOKEN アルゴリズムを通じて復号化し、ユーザー、ロール、および権限情報を取得します。

10. 一致チェックを実行して、この要求にインターフェイスアクセス権があるかどうかを確認します。チェックに合格すると、インターフェースにアクセスできます。チェックに失敗した場合、インターフェースにアクセスできません。

2. クロスプラットフォームインターフェースアクセス

ここでのインターフェースは、Web サービスに似たクロスプラットフォームインターフェースサービスを指します。シングルサインオンや統合認証はありません。他のプラットフォームが当社のプラットフォームとリモートでやり取りするためによく使用されます。これら 2 つのプラットフォームは、多くの場合同じ会社または部門のものではないため、インターフェースは長期使用向けではなく、一定の時間制限があります。

1. ユーザー管理者は、外部クライアントユーザーとその権限情報を設定します。

2. ユーザーデータベースにユーザー情報と権限情報を追加します。

3. 外部クライアントインターフェースにトークンがない場合は、まず権限センターに承認要求を送信する必要があります。

4. 権限センターは、外部クライアントユーザーが設定されているかどうかを確認し、ユーザーの権限情報を取得します。検証に合格すると、暗号化アルゴリズムを通じてトークンが生成されます。ここでのトークンは実際の状況によって異なります。セキュリティ要件が高い場合は、タイムスタンプを追加してトークンを期限切れにして無効にし、相手側が再度リクエストできるようにするのが最適です。

5. TOKEN を REDIS に保存して、TOKEN 共有プールを形成します。ここにはブラウザの SESSIONID がないので、それを SESSION に保存してもあまり意味がありません。

6. TOKENをクライアントに返します。

7. クライアントはトークンを取得した後、サービスインターフェイスアドレスにサービス要求を送信します。

8. ビジネスインターフェイスは ZUUL を介してリクエストをインターセプトし、TOKEN を REDIS TOKEN と比較します。

9. 比較が成功したら、トークンを復号化し、インターフェース認証があるかどうかを確認します。

10. インターフェースが承認されている場合、アクセスが許可されます。そうでない場合、アクセスは許可されません。

Java、Redis、MongoDB、MySQL、Zookeeper、Spring Cloud、Dubbo の高同時実行性分散などのチュートリアルを網羅した高度な Java 資料を自分で収集する必要があります。

<<: 適切なフレームワークの選び方 - 分散タスクスケジューリングフレームワークの選択

>>: 分散Redisディープアドベンチャー-Sentinel

Java アーキテクチャ - SpringCloud 分散アーキテクチャ権限管理

グーグルは中国国内で新たな競争相手が出現し、引き続き苦戦を強いられている

time4vps-大容量ハードディスクVPS、2.2 USD/1gメモリ/1Tハードディスク/8Tトラフィック/400Mポート

推奨する価値のあるクラウドコスト管理ツール 17 選

SEO ウェブサイト最適化ウェブサイト構造最適化スキル共有

Baidu の入札プロモーションは詐欺サイトによって利用されました。他者を正すには、まず自分自身を正さなければなりません。

SEO: 煙と雲

春節期間中の注目トピックをガイドします。大手ブランドが春節マーケティングをどのように展開しているかを見てみましょう。

モカ、「2022年上半期CHO人材戦略調査レポート」を発表

百度の統計ツールは成熟しつつある

Moments広告の@friendコメント機能が全面オープン。WeChatはもう「拘束」されていないのか？

推薦する

fapvps-1G メモリ KVM/SSD ハードディスク/月額 6.99 ドル

東にフェイントをかけ、西に攻撃する：必須のマーケティングツール

Amazon Web Services がアクセンチュアおよび Anthropic と提携し、企業の責任ある AI 構築を支援

eurobyte™: 14.9 元/月、ロシア VPS、無制限トラフィック、512M メモリ/1 コア/15g NVMe

2019 年のデータセンターとクラウドコンピューティングに関する 10 の予測

「eコマース＋ニューリテールの潮流下における技術サポート」セミナーが盛況のうちに開催されました

Longhorn クラウドネイティブコンテナ分散ストレージ - Python クライアント

dogyun: 「618」イベント、すべての VPS が 30% オフ、リチャージ用の無料マネー + ラッキードロー用の無料残高、cn2 などの直接接続回線、オプションには香港\韓国\日本\ドイツ\オランダ\米国が含まれます

他の従来のホスティング技術と比較したクラウドホスティングの利点は何ですか?

Chrome に推奨される SEO プラグイン

SaaS アプリケーションの開発方法

微博ユーザーは企業ユーザーに対してより受容的であり、微博のソーシャルマーケティング価値が強調されている

Qiavi Networkは、新しいウェブサイトを立ち上げる際に従わなければならない5つのルールについて語ります

ブランドはどのようにして 0 から 1 へのチャネル変革を実現できるのでしょうか?

Vultr、（新データセンター）シンガポールVPS、簡単なレビュー/月額5ドル/768MBのメモリ