마이크로 서비스 인증 전략

마이크로 서비스 아키텍처를위한 적절한 / 보안 인증 전략을 선택하는 데 어려움을 겪고 있습니다. 이 주제에서 찾은 유일한 SO 게시물은 다음과 같습니다 .Microservice Architecture의 싱글 사인온

내 생각은 각 서비스 (예 : 인증, 메시징, 알림, 프로필 등)에서 각 사용자에 대한 고유 한 참조 (논리적으로 그다음에 그 user_id와 같은)와 현재 사용자의 id로그인 가능성을 얻는 것 입니다.

연구 결과 두 가지 가능한 전략이 있습니다.

1. 공유 아키텍처

이 전략에서 인증 앱은 다른 서비스 중 하나입니다. 그러나 각 서비스는 변환 session_id=>을 수행 user_id할 수 있어야하므로 간단해야합니다. 그래서 Redis에 대해 생각한 이유는 key : value 저장하는 것 session_id:user_id입니다.

2. 방화벽 아키텍처

이 전략에서 세션 저장소는 인증 앱에서만 처리되므로 실제로 중요하지 않습니다. 그러면 user_id다른 서비스로 전달 될 수 있습니다. Rails + Devise (+ Redis 또는 mem-cached 또는 쿠키 스토리지 등)를 생각했지만 많은 가능성이 있습니다. 중요한 것은 Service X가 사용자를 인증 할 필요가 없다는 것입니다.

이 두 솔루션은 다음과 같은 관점에서 어떻게 비교됩니까?

• 보안
• 견고성
• 확장 성
• 사용의 용이성

아니면 내가 여기서 언급하지 않은 다른 해결책을 제안 할 것입니까?

나는 솔루션 # 1을 더 좋아하지만 올바른 방향으로 가고 있다는 사실을 보장하는 많은 기본 구현을 찾지 못했습니다.

내 질문이 닫히지 않기를 바랍니다. 물어볼 다른 곳은 정말 모르겠습니다.

미리 감사드립니다

내가 이해 한 것을 기반으로, 그것을 해결하는 좋은 방법은 OAuth 2 프로토콜을 사용하는 것입니다 ( http://oauth.net/2/ 에서 조금 더 자세한 정보를 찾을 수 있습니다 )

사용자가 응용 프로그램에 로그인하면 토큰을 얻을 수 있으며이 토큰을 사용하면 다른 서비스로 보내 요청에서 식별 할 수 있습니다.

체인 마이크로 서비스 디자인의 예

자원:

• http://presos.dsyer.com/decks/microservice-security.html
• https://github.com/intridea/oauth2
• https://spring.io/guides/tutorials/spring-security-and-angular-js/

간단한 답변 : Oauth2.0 종류의 토큰 기반 인증을 사용하십시오.이 인증은 webapp 또는 모바일 앱과 같은 모든 유형의 응용 프로그램에서 사용할 수 있습니다. 웹 애플리케이션과 관련된 일련의 단계는 다음과 같습니다.

1. ID 제공자에 대해 인증
2. 액세스 토큰을 쿠키로 유지
3. webapp의 페이지에 액세스
4. 서비스를 호출

아래 다이어그램은 필요한 구성 요소를 보여줍니다. 웹과 데이터 API를 분리하는 이러한 아키텍처는 우수한 확장 성, 탄력성 및 안정성을 제공합니다.

OpenID Connect를 사용하여이를 구현하려면 API 게이트웨이 패턴을 사용해야합니다. 사용자는 IDP에 의해 인증되고 권한 부여 서버에서 JWT 토큰을받습니다. 이제 API 게이트웨이 시스템은이 토큰을 Redis 데이터베이스에 저장하고 브라우저에서 쿠키를 설정할 수 있습니다. API 게이트웨이는 쿠키를 사용하여 사용자 요청의 유효성을 검사하고 토큰을 Microservices에 보냅니다.

API Gateway는 공개 Java 스크립트 클라이언트 앱, 기존 웹 앱, 기본 모바일 앱 및 Microservice 아키텍처의 타사 클라이언트 앱과 같은 모든 유형의 클라이언트 앱에 대한 단일 진입 점 역할을합니다.

자세한 내용은 http://proficientblog.com/microservices-security/ 에서 찾을 수 있습니다 .

인증 및 권한 부여 목적으로 idenitty 서버 4 를 사용할 수 있습니다

방화벽 아키텍처 를 사용해야 하므로 보안 성, 견고성, 확장 성 및 사용 용이성을 보다 효과적으로 제어 할 수 있습니다.