powered by simpleCommunicator - 2.0.30     © 2024 Programmizd 02
Map
Форумы / Java [игнор отключен] [закрыт для гостей] / Авторизация\аутентификация в микросервисах
22 сообщений из 22, страница 1 из 1
Авторизация\аутентификация в микросервисах
    #40134474
bobo96
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Привет, углубляюсь в данную тему по разным туториалам в интернетах и нет понимания в плане реализации авторизации.
Допустим есть отдельный микросервис, который занимается аутентификацией пользователей. Мы отправили туда логин\пароль получили токен доступа, тут вопросов нет.
Далее с этим токеном идем в любой другой микросервис и тут вопрос: токен как проверять ? Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ?
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134490
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96,
Хотя бы 5 минут почитай про SSO.
Микросервис ничем не отличается от обычного веб сервиса.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134491
bobo96
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Спасибо, я и 10 минут почитать готов, к чему такой тон ?
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134493
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96,
Тон мужской. Обычный).
Как у строгих преподов.
))
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134497
bobo96
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
PetroNotC Sharp, ok)
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134498
bobo96 , речь я так понимаю про OAuth2. Так вот, сервисы внутри одной организации не должны общаться с помощью токенов пользователя . Эти токены и пользовательская авторизация созданы для того чтоб пользователь выдал права на свои личные ресурсы 3d-party сервисам.
Например, ты хочешь дать доступ этому форуму к своим фоткам в гугле. Тогда этот форум перекинул бы тебя на гугловскую страницу авторизации. И ты сказал бы гуглу "вот этому форуму дай мои данные". Тогда форум получает токен, обращается с ним к гуглу, и тот его проверяет в своем Auth Server'e. Заметь что гугл не доверяет по умолчанию этому форуму, это твои обязанности определить каким сервисам доверять.

А если же речь про сервисы внутри одной организации, то тут обычные Basic Auth, не-пользовательские токены, подписи и пр способы аутентификации используются. Если же использовать для этих средств пользовательскую авторизацию, то это приведет к большим архитектурным проблемам вплоть до того что какую-то функциональность просто невозможно будет реализовать (например, фоновые жобы которые должны работать без пользовательской авторизации).

PS: можешь спокойно игнорировать петро. Он пользы не принесет. А если начнешь с ним общаться, то тут начнется очередной флуд и нормальные разработчики сюда не прийдут.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134500
bobo96
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Stanislav Bashkyrtsev, привет!
авторречь я так понимаю про OAuth2
Не знаю)
Просто поднимал обычные монолиты так сказать, использовал jwt авторизацию, проблем не было: аутентифицировал пользователя, выдал ему токен и вперед.
Микросервисы руками трогал, но тему аутентификации еще нет, это просто первый момент, который мне непонятен от слова совсем, поэтому и пришел сюда.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134516
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96
Не знаю)
OAuth это подмножество SSO.
С трех букв и начинай. Прямо с википедии.
10 минут уже прошло
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134628
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96
Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ?

У токена есть время жизни (допустим 30 минут). Можно проверить 1 раз и до expiration time считать что этот токен валиден.
Так всегда делают в тайм-критичных системах. А потом снова запросить проверку.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134726
bobo96
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
mayton
bobo96
Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ?

У токена есть время жизни (допустим 30 минут). Можно проверить 1 раз и до expiration time считать что этот токен валиден.
Так всегда делают в тайм-критичных системах. А потом снова запросить проверку.

Так я и спрашиваю о том, как отдельный микросервис должен это проверять. Тупо обращаться к серверу аутентификации и дергать эту информацию оттуда ?
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134732
Если все-таки захочется использовать тот же OAuth2, то там есть специальный Client Credentials Workflow - он позволит аутентифицироваться сервисам (aka клиент). Это не пользовательский токен (то называется User Authorization Workflow). В случае Client Credentials Workflow обычно используется JWT:
1. Сервис аутентифицируется в Auth Server'e, получает подписанный JWT токен
2. Resource Server (тот к кому мы обращаемся) должен быть настроен чтоб он доверял подписи Auth Server'a. Тогда в самом JWT хранится expiration date, а также он подписан и ему можно доверять.

В таком подходе серверу не нужно будет никуда идти и проверять валиден ли токен - сервер сам это делает. Это усложнение с подписями нужно чтоб серверу не приходилось часто ходить в Auth Server. Было бы плохо для производительности.

PS: и да, чтоб не было путаницы - к SSO это все не имеет никакого отношения
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134737
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
Если все-таки захочется использовать тот же OAuth2
ключевое слово если.
Вот и начни с обзора всех "если" прежде чем говорить об одном котором знаешь))))))
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134738
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96,
А что тебя смутило? Время? Дак это 0,1 сек.
Или что другое.
"тупо обращатся" это тупой разговор ни о чем.
Делают hello world и пишут что не получилось.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134757
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96
mayton
пропущено...

У токена есть время жизни (допустим 30 минут). Можно проверить 1 раз и до expiration time считать что этот токен валиден.
Так всегда делают в тайм-критичных системах. А потом снова запросить проверку.

Так я и спрашиваю о том, как отдельный микросервис должен это проверять. Тупо обращаться к серверу аутентификации и дергать эту информацию оттуда ?

Но почему-же тупо? Тупо - это плохое слово. Не инженерное.

Ты уже выбрал реализацию? Это будут JWT-токены? Так будет просто более предменто.

По поводу запросить проверку. Наверное все таки не запросить проверку а обновить токен.
И это задача клиента. Тоесть того кто обращается к сервису. Сервис - сверяет электронную подпись.
Там будет написано что предьявитель сего документа bobo96 действительно обладает правом читать
сервисы такие-то такие-то по таким хостам и его документ действителен допустим до 2023 года.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134800
bobo96
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Stanislav Bashkyrtsev, спасибо!

mayton
bobo96
пропущено...

Так я и спрашиваю о том, как отдельный микросервис должен это проверять. Тупо обращаться к серверу аутентификации и дергать эту информацию оттуда ?

Ты уже выбрал реализацию? Это будут JWT-токены? Так будет просто более предменто.

Если говорить про сейчас, то да, пусть будут jwt токены, ибо oauth2 пока руками не трогал, с токенами все проще.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40134816
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96,
Как проще - это все индивидуально.
Если хотите правильно, то читать и hello wold
Если хотите экстерном в 9 лет в универ, то ставите фильтр и на любой запрос его перехватываете фильтром.
Дальше запрос к сервису аутентиф....
Выбирай!
Удачи!
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40135026
Sergunka
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
bobo96
Привет, углубляюсь в данную тему по разным туториалам в интернетах и нет понимания в плане реализации авторизации.
Допустим есть отдельный микросервис, который занимается аутентификацией пользователей. Мы отправили туда логин\пароль получили токен доступа, тут вопросов нет.
Далее с этим токеном идем в любой другой микросервис и тут вопрос: токен как проверять ? Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ?


https://vyatkins.wordpress.com/2017/11/11/cloud-security-oauth-2-0-protocol-and-predix-uaa/

У меня есть довольно древняя статья как работает Aouth2 для UUA Server .

Там важный момент хоть и на английском, но много картинок и главное можно пощупать руками через postman. Это очень важный момент просто пройти через воркфло руками используя постмен. Когда все шаги прощупаны тогда начнете лучше понимать как разные воркфло работают в зависимости от выбраного уровня безопасности.

На Ваш конкретный вопрос вот картинка как это выглядит называется User Agent кто и обеспечивает доступ к сервисам клиенту

...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40135062
Sergunka, это как раз тот workflow который ему не нужен. Ему максимум нужен Client Credentials grant.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40135067
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
ему не нужен. Ему максимум нужен
не лей воду. Раз лезешь не к ТС а к другим мемберам - обосновывай.
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40135433
adminDontSleep
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
bobo96
Привет, углубляюсь в данную тему по разным туториалам в интернетах и нет понимания в плане реализации авторизации.
Допустим есть отдельный микросервис, который занимается аутентификацией пользователей. Мы отправили туда логин\пароль получили токен доступа, тут вопросов нет.
Далее с этим токеном идем в любой другой микросервис и тут вопрос: токен как проверять ? Каждый конкретный микросервис обращается к сервису авторизации с просьбой проверить токен или ... ?

keycloak
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40135514
bobo96
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Всем большое спасибо! Штоп я без вас делал))
...
Рейтинг: 0 / 0
Авторизация\аутентификация в микросервисах
    #40136160
adminDontSleep
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
bobo96,

YouTube Video
...
Рейтинг: 0 / 0
22 сообщений из 22, страница 1 из 1
Форумы / Java [игнор отключен] [закрыт для гостей] / Авторизация\аутентификация в микросервисах
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]