使用JWT和OAuth2实现身份认证,结合RBAC模型进行细粒度权限控制,并通过API网关统一拦截请求,实现微服务间安全通信。
微服务架构下,服务间通信频繁且复杂,接口安全认证与访问控制成为保障系统安全的核心环节。直接暴露的接口若缺乏有效防护,容易遭受未授权访问、数据泄露或恶意调用。解决这一问题的关键在于建立统一的身份认证机制和细粒度的访问控制策略。
使用JWT实现服务间身份认证
JSON Web Token(JWT)是一种轻量级的开放标准,用于在各方之间安全传输信息。微服务中常用它来传递用户身份和权限信息。
流程如下:
- 用户登录后,认证服务生成包含用户ID、角色、过期时间等信息的JWT,并返回给客户端
- 客户端后续请求携带该Token(通常放在Authorization头)
- 各微服务接收到请求后,通过共享的密钥或公钥验证Token签名,解析出用户信息
- 服务根据解析结果判断是否放行请求
示例代码片段(Spring Boot中使用Java JWT库):
String token = Jwts.builder() .setSubject("user123") .claim("roles", "USER") .setExpiration(new Date(System.currentTimeMillis() + 86400000)) .signWith(SignatureAlgorithm.HS512, "secretKey") .compact();基于OAuth2的统一认证中心
对于多服务、多客户端场景,可引入OAuth2协议构建统一认证中心(如使用Spring Security OAuth2或Keycloak)。
典型流程包括:
- 第三方应用通过授权码模式获取access_token
- 认证中心颁发Token并管理其生命周期
- 微服务作为资源服务器,向认证中心验证Token有效性
- 支持刷新令牌、撤销令牌等安全管理功能
优势在于集中管理用户凭证,避免密码在多个服务间传播,同时支持单点登录(SSO)和权限分级控制。
细粒度访问控制(RBAC模型)
仅认证身份还不够,还需控制“能做什么”。基于角色的访问控制(RBAC)是常见方案。
实现方式:
- 定义角色(如ADMIN、USER、GUEST)和权限(如order:read、order:write)
- 将权限分配给角色,用户关联对应角色
- 微服务内部使用拦截器或注解(如@PreAuthorize)进行权限校验
例如在Spring中配置:
@PreAuthorize("hasAuthority('ORDER_READ')") public Order getOrder(String id) { // 返回订单信息 }API网关统一拦截与限流
在微服务前部署API网关(如Spring Cloud Gateway、Kong),可集中处理认证、鉴权、限流等横切关注点。
具体做法:
- 所有外部请求先经过网关,验证Token合法性
- 根据用户角色或客户端IP进行访问控制
- 对高频调用进行限流,防止DDoS攻击
- 记录访问日志,便于审计和追踪
这样既减轻了各服务的负担,也提升了整体安全性。
基本上就这些。核心是:用JWT或OAuth2确保身份可信,用RBAC控制操作权限,再通过网关统一入口做兜底防护。不复杂但容易忽略细节,比如Token过期处理、密钥轮换、权限缓存更新等,都需要在实际中仔细设计。
