后羿框架-权限子框架
目的
该子框架主要是统一认证与授权、鉴权的实现方式。
设计分析
在传统的单体应用中是将认证与授权、鉴权放在同一个系统来实现的。
image.png
- 比如:移动官网系统
认证:基于用户名+短信验证权进行认证。
授权:认证成功获取一个令牌。
鉴权:一些资源可以不登录访问,比如:登录首页;
访问授限资源需要对用户的令牌进行验证,从而达到用户身份验证的目的,并判断用户是否有权访问。
- 再比如:后台管理系统(CMS)
认证:基于用户名+密码进行认证
授权:认证成功获取一个令牌,并在后端绑定用户角色,并基于ACL授权接口数据资源。
鉴权:与移动官网无异。
在微服务架构中,认证与授权、鉴权通常在不同的工程中分开部署。
PlantUML diagram
- 比如:业务中台
认证:UAA基于oauth2实现4种认证方式。
授权:在UMS中配置client为客户端授权。
鉴权:在网关对客户端权限进行校验。
综上所述,认证、授权、鉴权需要开发为独立组件,以满足各种情况的需要。
权限设计
权限设计主要分为认证、授权与鉴权。
认证
认证按类型区分,可以分为用户认证和应用认证
用户认证
- 基于用户名+密码+图形验证码认证
- 基于用户名+手机验证码认证
应用认证
-
授权码模式
用户认证以后,用户授权客户端访问系统资源。
客户端获取到系统授权码,换取令牌,完成客户端认证。
image.png
-
简化模式
用户认证以后,用户授权客户端访问系统资源。
客户端获取到令牌,完成客户端认证。
image.png
-
密码模式
客户端将用户提供的发给系统,完成客户端认证。
image.png
-
客户端模式
客户端提供appid及secret,完成客户端认证。
image.png
授权
用户授权
对于用户授权,我们常用RBAC基于角色的访问控制(Role-Based Access Control) 来实现。
RBAC 认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作,也就是“主体”对“客体”的操作。
Who:是权限的拥有者或主体(如:User,Role)。
What:是操作或对象(operation,object)。
How:具体的权限(Privilege,正向授权与负向授权)。
应用授权
对于应用授权,可以基于oauth2协议中的scope(权限范围)来扩展进行授权。
鉴权
实现方式
鉴权通常都是在请求的入口进行控制。
在单应用中:
- 可以通过servlet的Filter中来实现
- 在SpringMVC中可以通过拦截器来实现
在微服务中: - 可以在网关中来实现。
不管哪种方式 ,都可以基于接口来定义一套统一的鉴权逻辑,及主体(用户、应用或其它)访问资源(界面、按钮、API、数据)时:
- 获取主体的授权信息(如:用户的角色信息)
- 获取角色对应的授权资源信息(ACL)
- 基于授权资源信息判断主体是否有访问权限。
用户鉴权
- 在用户访问资源时获取用户角色信息。
- 基于角色获取授权资源信息。
- 基于授权资源信息判断用户是否有访问权限。
应用鉴权
- 在应用访问资源时获取应用的范围(scope)信息。
- 基于访问范围限制获取授权资源信息。
- 基于授权资源信息判断应用是否有访问权限。
实现
PlantUML diagram
-
auth-user
获取授权主体信息的接口。 -
auth-common
认证、授权、鉴权的通用配置。 -
auth-server
认证的扩展 -
auth-client
鉴权的统一接口及通用实现。 -
auth-enhancer
基于spring-mvc对获取主体信息的扩展。
基于注解,在接口处自动获取主体相关信息。
@startuml
frame 系统{
card 业务功能
card 认证
card 授权
card 鉴权
}
@enduml
@startuml
frame 网关{
card 鉴权
}
frame UAA{
card 认证
}
frame UMS{
card 授权
}
frame US {
card 业务功能
}
@enduml
@startuml
[auth-server] --> [auth-common]
[auth-client] --> [auth-common]
[auth-common] --> [auth-user]
[auth-enhancer] --> [auth-user]
@enduml
