|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Привет, углубляюсь в данную тему по разным туториалам в интернетах и нет понимания в плане реализации авторизации. Допустим есть отдельный микросервис, который занимается аутентификацией пользователей. Мы отправили туда логин\пароль получили токен доступа, тут вопросов нет. Далее с этим токеном идем в любой другой микросервис и тут вопрос: токен как проверять ? Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ? ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 11:46 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96, Хотя бы 5 минут почитай про SSO. Микросервис ничем не отличается от обычного веб сервиса. ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 12:26 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Спасибо, я и 10 минут почитать готов, к чему такой тон ? ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 12:32 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96, Тон мужской. Обычный). Как у строгих преподов. )) ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 12:38 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
PetroNotC Sharp, ok) ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 12:51 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96 , речь я так понимаю про OAuth2. Так вот, сервисы внутри одной организации не должны общаться с помощью токенов пользователя . Эти токены и пользовательская авторизация созданы для того чтоб пользователь выдал права на свои личные ресурсы 3d-party сервисам. Например, ты хочешь дать доступ этому форуму к своим фоткам в гугле. Тогда этот форум перекинул бы тебя на гугловскую страницу авторизации. И ты сказал бы гуглу "вот этому форуму дай мои данные". Тогда форум получает токен, обращается с ним к гуглу, и тот его проверяет в своем Auth Server'e. Заметь что гугл не доверяет по умолчанию этому форуму, это твои обязанности определить каким сервисам доверять. А если же речь про сервисы внутри одной организации, то тут обычные Basic Auth, не-пользовательские токены, подписи и пр способы аутентификации используются. Если же использовать для этих средств пользовательскую авторизацию, то это приведет к большим архитектурным проблемам вплоть до того что какую-то функциональность просто невозможно будет реализовать (например, фоновые жобы которые должны работать без пользовательской авторизации). PS: можешь спокойно игнорировать петро. Он пользы не принесет. А если начнешь с ним общаться, то тут начнется очередной флуд и нормальные разработчики сюда не прийдут. ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 13:16 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev, привет! авторречь я так понимаю про OAuth2 Не знаю) Просто поднимал обычные монолиты так сказать, использовал jwt авторизацию, проблем не было: аутентифицировал пользователя, выдал ему токен и вперед. Микросервисы руками трогал, но тему аутентификации еще нет, это просто первый момент, который мне непонятен от слова совсем, поэтому и пришел сюда. ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 13:27 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96 Не знаю) С трех букв и начинай. Прямо с википедии. 10 минут уже прошло ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 14:22 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96 Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ? У токена есть время жизни (допустим 30 минут). Можно проверить 1 раз и до expiration time считать что этот токен валиден. Так всегда делают в тайм-критичных системах. А потом снова запросить проверку. ... |
|||
:
Нравится:
Не нравится:
|
|||
16.02.2022, 19:18 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
mayton bobo96 Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ? У токена есть время жизни (допустим 30 минут). Можно проверить 1 раз и до expiration time считать что этот токен валиден. Так всегда делают в тайм-критичных системах. А потом снова запросить проверку. Так я и спрашиваю о том, как отдельный микросервис должен это проверять. Тупо обращаться к серверу аутентификации и дергать эту информацию оттуда ? ... |
|||
:
Нравится:
Не нравится:
|
|||
17.02.2022, 10:35 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Если все-таки захочется использовать тот же OAuth2, то там есть специальный Client Credentials Workflow - он позволит аутентифицироваться сервисам (aka клиент). Это не пользовательский токен (то называется User Authorization Workflow). В случае Client Credentials Workflow обычно используется JWT: 1. Сервис аутентифицируется в Auth Server'e, получает подписанный JWT токен 2. Resource Server (тот к кому мы обращаемся) должен быть настроен чтоб он доверял подписи Auth Server'a. Тогда в самом JWT хранится expiration date, а также он подписан и ему можно доверять. В таком подходе серверу не нужно будет никуда идти и проверять валиден ли токен - сервер сам это делает. Это усложнение с подписями нужно чтоб серверу не приходилось часто ходить в Auth Server. Было бы плохо для производительности. PS: и да, чтоб не было путаницы - к SSO это все не имеет никакого отношения ... |
|||
:
Нравится:
Не нравится:
|
|||
17.02.2022, 10:49 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev Если все-таки захочется использовать тот же OAuth2 Вот и начни с обзора всех "если" прежде чем говорить об одном котором знаешь)))))) ... |
|||
:
Нравится:
Не нравится:
|
|||
17.02.2022, 11:08 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96, А что тебя смутило? Время? Дак это 0,1 сек. Или что другое. "тупо обращатся" это тупой разговор ни о чем. Делают hello world и пишут что не получилось. ... |
|||
:
Нравится:
Не нравится:
|
|||
17.02.2022, 11:13 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96 mayton пропущено... У токена есть время жизни (допустим 30 минут). Можно проверить 1 раз и до expiration time считать что этот токен валиден. Так всегда делают в тайм-критичных системах. А потом снова запросить проверку. Так я и спрашиваю о том, как отдельный микросервис должен это проверять. Тупо обращаться к серверу аутентификации и дергать эту информацию оттуда ? Но почему-же тупо? Тупо - это плохое слово. Не инженерное. Ты уже выбрал реализацию? Это будут JWT-токены? Так будет просто более предменто. По поводу запросить проверку. Наверное все таки не запросить проверку а обновить токен. И это задача клиента. Тоесть того кто обращается к сервису. Сервис - сверяет электронную подпись. Там будет написано что предьявитель сего документа bobo96 действительно обладает правом читать сервисы такие-то такие-то по таким хостам и его документ действителен допустим до 2023 года. ... |
|||
:
Нравится:
Не нравится:
|
|||
17.02.2022, 12:26 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev, спасибо! mayton bobo96 пропущено... Так я и спрашиваю о том, как отдельный микросервис должен это проверять. Тупо обращаться к серверу аутентификации и дергать эту информацию оттуда ? Ты уже выбрал реализацию? Это будут JWT-токены? Так будет просто более предменто. Если говорить про сейчас, то да, пусть будут jwt токены, ибо oauth2 пока руками не трогал, с токенами все проще. ... |
|||
:
Нравится:
Не нравится:
|
|||
17.02.2022, 13:39 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96, Как проще - это все индивидуально. Если хотите правильно, то читать и hello wold Если хотите экстерном в 9 лет в универ, то ставите фильтр и на любой запрос его перехватываете фильтром. Дальше запрос к сервису аутентиф.... Выбирай! Удачи! ... |
|||
:
Нравится:
Не нравится:
|
|||
17.02.2022, 14:04 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96 Привет, углубляюсь в данную тему по разным туториалам в интернетах и нет понимания в плане реализации авторизации. Допустим есть отдельный микросервис, который занимается аутентификацией пользователей. Мы отправили туда логин\пароль получили токен доступа, тут вопросов нет. Далее с этим токеном идем в любой другой микросервис и тут вопрос: токен как проверять ? Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ? https://vyatkins.wordpress.com/2017/11/11/cloud-security-oauth-2-0-protocol-and-predix-uaa/ У меня есть довольно древняя статья как работает Aouth2 для UUA Server . Там важный момент хоть и на английском, но много картинок и главное можно пощупать руками через postman. Это очень важный момент просто пройти через воркфло руками используя постмен. Когда все шаги прощупаны тогда начнете лучше понимать как разные воркфло работают в зависимости от выбраного уровня безопасности. На Ваш конкретный вопрос вот картинка как это выглядит называется User Agent кто и обеспечивает доступ к сервисам клиенту ... |
|||
:
Нравится:
Не нравится:
|
|||
18.02.2022, 06:29 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Sergunka, это как раз тот workflow который ему не нужен. Ему максимум нужен Client Credentials grant. ... |
|||
:
Нравится:
Не нравится:
|
|||
18.02.2022, 09:48 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev ему не нужен. Ему максимум нужен ... |
|||
:
Нравится:
Не нравится:
|
|||
18.02.2022, 10:21 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
bobo96 Привет, углубляюсь в данную тему по разным туториалам в интернетах и нет понимания в плане реализации авторизации. Допустим есть отдельный микросервис, который занимается аутентификацией пользователей. Мы отправили туда логин\пароль получили токен доступа, тут вопросов нет. Далее с этим токеном идем в любой другой микросервис и тут вопрос: токен как проверять ? Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ? keycloak ... |
|||
:
Нравится:
Не нравится:
|
|||
20.02.2022, 22:34 |
|
Авторизация\аутентификация в микросервисах
|
|||
---|---|---|---|
#18+
Всем большое спасибо! Штоп я без вас делал)) ... |
|||
:
Нравится:
Не нравится:
|
|||
21.02.2022, 10:05 |
|
|
start [/forum/topic.php?fid=59&gotonew=1&tid=2120234]: |
0ms |
get settings: |
16ms |
get forum list: |
8ms |
check forum access: |
1ms |
check topic access: |
1ms |
track hit: |
52ms |
get topic data: |
3ms |
get first new msg: |
4ms |
get forum data: |
1ms |
get page messages: |
567ms |
get tp. blocked users: |
0ms |
others: | 3484ms |
total: | 4137ms |
0 / 0 |