微服务之间的通讯安全(三)-JWT优化之权限控制

上节我们使用JWT优化了认证机制,通过令牌可以解析出当前用户是谁,并且这个令牌可以在网关到微服务,微服务和微服务之间传递,现在我们来看一下权限的控制

1、简单的ACL控制

最简单的情况就是ACL(访问控制列表),能干什么都在scope里面,但是scope是针对客户端应用的,无法控制各个用户可以做什么,可以使用用户里的authorities来进行判断。我们只需要在程序里判断一下,访问这个方法有没有相应的权限就可以了。可以在springsecurity中进行配置,也可以使用注解,这里我们使用注解。

1.1、添加@EnableGlobalMethodSecurity注解并开启prePostEnabled

/**
 * 订单微服务
 *
 * @author caofanqi
 * @date 2020/1/31 14:22
 */
@EnableResourceServer
@SpringBootApplication
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class OrderApiApplication {


    public static void main(String[] args) {
        SpringApplication.run(OrderApiApplication.class, args);
    }

    /**
     * 将OAuth2RestTemplate声明为spring bean,OAuth2ProtectedResourceDetails,OAuth2ClientContext springboot会自动帮我们注入
     */
    @Bean
    public OAuth2RestTemplate oAuth2RestTemplate(OAuth2ProtectedResourceDetails resource, OAuth2ClientContext context) {
        return new OAuth2RestTemplate(resource, context);
    }

}

1.2、在方法上可以使用@PreAuthorize注解进行方法前权限校验,下面的创建订单方法,需要令牌具有fly权限并且用户的角色是ROLE_ADMIN。

    @PostMapping
    @PreAuthorize("#oauth2.hasScope('write') and hasRole('ROLE_ADMIN')")
    public OrderDTO create(@RequestBody OrderDTO orderDTO, @AuthenticationPrincipal String username) {
        log.info("username is :{}", username);
        PriceDTO price = oAuth2RestTemplate.getForObject("http://127.0.0.1:9070/prices/" + orderDTO.getProductId(), PriceDTO.class);
        log.info("price is : {}", price.getPrice());
        return orderDTO;
    }

1.3、启动各项目进行测试

  1.3.1、使用scope为read,write,并且用户的authorities里有ROLE_ADMIN,可以正常访问。

  1.3.2、将@PreAuthorize("#oauth2.hasScope('write') and hasRole('ROLE_ADMIN')") 修改为@PreAuthorize("#oauth2.hasScope('fly') and hasRole('ROLE_ADMIN')")或@PreAuthorize("#oauth2.hasScope('write') and hasRole('ROLE_USER')"),继续使用该令牌进行访问,均没有权限。

2、在网关上做复杂的权限控制

  上面直接在方法上控制权限,适用于比较简单的场景,只有几个角色,就可以实现权限控制。但是没有办法应付复杂的场景,比如说用户的角色权限是动态变化的,上面的方式就无法进行控制了。下面我们来看一下,要实时的去做授权怎么来做。

一般,我们对于复杂的权限控制,都是会有一个权限服务的,和订单服务、库存服务一样都是一个微服务;前端会有相关的页面可以对用户的角色权限实时进行修改,配置到数据库中,在同步到redis中,权限系统可以提供一个接口,用来来判断当前请求是否有相应的权限。请求发到网关经过校验令牌之后,网关去校验该请求的权限,有权限就转发,没有权限就返回。我们把认证服务器和权限服务整个一块称为安全中心。

2.1、在网关上写一个权限控制服务,可以去安全中心进行权限判断。这里我们就不去实现权限服务了,使用随机数替代。

/**
 * 权限控制
 * @author caofanqi
 * @date 2020/2/9 14:48
 */
public interface PermissionService {

    /**
     * 判断当前请求是否有权限
     * @param request 请求
     * @param authentication 认证相关信息
     * @return boolean
     */
    boolean hasPermission(HttpServletRequest request, Authentication authentication);

}

/**
 * 权限控制实现类
 *
 * @author caofanqi
 * @date 2020/2/9 14:51
 */
@Slf4j
@Service
public class PermissionServiceImpl implements PermissionService {

    /**
     * 在这里可以去安全中心,获取该请求是否具有相应的权限
     *
     * @param request        请求
     * @param authentication 认证相关信息
     */
    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {

        //这里我们就不写具体的权限判断了,采用随机数模拟,百分之50的机率可以访问
        log.info("request uri : {}", request.getRequestURI());
        log.info("authentication : {}", ReflectionToStringBuilder.toString(authentication));
        boolean  hasPermission =  RandomUtils.nextInt() % 2 == 0;
        log.info("hasPermission is :{}",hasPermission);
        return hasPermission;
    }

}

2.2、将我们的服务添加到评估上下文中,使其可以被解析。在表达式中写permissionService时可以找到该bean。

/**
 * 将权限服务表达式添加到评估上下文中
 *
 * @author caofanqi
 * @date 2020/2/9 14:58
 */
@Component
public class GatewayWebSecurityExpressionHandler extends OAuth2WebSecurityExpressionHandler {

    @Resource
    private PermissionService permissionService;

    @Override
    protected StandardEvaluationContext createEvaluationContextInternal(Authentication authentication, FilterInvocation invocation) {
        StandardEvaluationContext sc = super.createEvaluationContextInternal(authentication, invocation);
        sc.setVariable("permissionService",permissionService);
        return sc;
    }
    
}

2.3、在网关资源服务器配置类中进行配置

/**
 * 网关资源服务器配置
 *
 * @author caofanqi
 * @date 2020/2/8 22:30
 */
@Configuration
@EnableResourceServer
public class GatewayResourceServerConfig extends ResourceServerConfigurerAdapter {


    @Resource
    private GatewayWebSecurityExpressionHandler gatewayWebSecurityExpressionHandler;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources
                .resourceId("gateway")
                //表达式处理器
                .expressionHandler(gatewayWebSecurityExpressionHandler);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                //放过申请令牌的请求不需要身份认证
                .antMatchers("/token/**").permitAll()
                //其他所有请求是否有权限,要通过permissionService的hasPermission方法进行判断
                .anyRequest().access("#permissionService.hasPermission(request,authentication)");
    }

}

2.4、启动各项目进行创建订单测试

  可以正常访问时,gateway控制台打印

  没有权限访问403时,gateway控制台打印

   这说明权限控制已经是通过我们的PermissionService来控制的了。

3、微服务之间的权限控制

  如果权限控制都在网关上管理,那么有可能就会出现,用户A可以访问订单服务,但是不能访问库存服务。但是用户A在访问订单服务的时候,订单服务可以访问库存服务,这样的话,就越权了。这个场景怎么解决呢?可以在每个微服务上都去调用安全中心判断权限,和网关上做法差不多,但是不建议这么做。

  推荐的做法是,细粒度的权限,每个请求可不可以访问在网关上做,可以覆盖95%-99%的权限。到了后面的微服务与微服务之间,我们只需要做粗粒度的黑白名单控制即可。比如所我们有一个跟钱相关的结算服务,可以控制只能订单服务来调用,其他服务不可以调用。后面学习sentinel进行控制。

 

 项目源码:https://github.com/caofanqi/study-security/tree/dev-jwt-permission

 

 

posted @ 2020-02-09 20:40  caofanqi  阅读(1570)  评论(0编辑  收藏  举报