RError.com

RError.com Logo RError.com Logo

RError.com Navigation

  • 主页

Mobile menu

Close
  • 主页
  • 系统&网络
    • 热门问题
    • 最新问题
    • 标签
  • Ubuntu
    • 热门问题
    • 最新问题
    • 标签
  • 帮助
主页 / 问题 / 1201401
Accepted
AivanF.
AivanF.
Asked:2021-11-07 22:03:10 +0000 UTC2021-11-07 22:03:10 +0000 UTC 2021-11-07 22:03:10 +0000 UTC

微服务架构中的授权

  • 772

有一个具有微服务架构的服务器项目(在 Docker 和 Kuber 上),大部分代码是使用 AIOHTTP 和 Django 用两个 Python 服务编写的(也有使用 NginX 的服务:Ingress,一个静态文件服务器和其他几个) . 我想将这两个服务拆分为更小的服务,以简化代码库并使其更易于管理。那我想把认证检查的授权放到一个单独的微服务中,但是如何实现呢?

我还要澄清一下,问题的本质不在于授权方法,如 OAuth、JWT 等,而具体在于集群架构中的职责和依赖关系的分配。

在我看来,一个好的解决方案是为 Ingress NginX 或它前面的代理服务器添加某种插件,这样这个微服务本身就不知道具体的方法,比如一个授权中间件,它检查 headers/cookies 的访问权限令牌或会话,如果成功则设置用户 ID。

当前架构的简化版本如下所示:

当前架构

我如何提出一个可能的解决方案,以便减少混淆的联系:

所需架构

但我不确定这是否是一个适当的解决方案。至少,这种方法会剥夺项目 Kuber 的 Ingress 的优势,它提供了一个很酷的界面,用于使用控制台中的配置更新路径方案,但据我所知,它不允许提前处理请求,这就是为什么你必须在不方便与 K8s 集成的情况下提出自定义 NginX。

在行业中解决这个问题的替代方案是什么?

我只能想象创建一个请求处理程序来检查授权,然后通过 HTTP/RPC 将请求委托给其他微服务,无需授权;但我怀疑这是一个好的解决方案,因为这样的代理必须解析整个请求,然后再创建一个新的;此外,在其他微服务中,加载了 NginX 的实例作为外部 API 的代理,似乎在它们面前这样的授权代理将成为瓶颈。

python
  • 1 1 个回答
  • 10 Views

1 个回答

  • Voted
  1. Best Answer
    AivanF.
    2021-11-13T06:01:56Z2021-11-13T06:01:56Z

    理论

    所以,我在网络中挖掘和咨询了一年半后发现了什么。有一个架构模式API Gateway,它描述了集群的入口点,事实上,这与Kubernetes Ingress所做的和我在问题中得到的一样。一般来说,这是一个代理服务器,它是集群的唯一入口点,它可以处理缓存、保护集群免受 DDoS 攻击、支持不同的 API 协议、操作 URI 路径、管理节流、货币化以及我需要的授权. 因此,在集群内,当微服务相互通信时,不再存在授权问题,所有必要的参数都会在请求中呈现。

    执行

    NginX Ingress在 Kubernetes 中很流行,并且支持 Basic Auth 和 OAuth2;不是很好,但至少是一些东西。Ingress for Kubernetes 也有替代版本:Kong、Ambassador、Traefik,它们的功能范围更广(同时,Kong 是基于 NginX 的)。

    在 Java 和 Spring 的世界里,有一个Spring Cloud Gateway就是为了这个目的,它和 K8s Ingress 一样,提供了一种以 YAML 格式描述路径表的便捷方式,同时也是一个可扩展的服务,让您可以轻松嵌入任何身份验证方法在进入集群之前。

    此外,许多云平台都或多或少地提供了自己的服务,包括Google Cloud、Red Hat、AWS、Yandex Cloud。但是,这些服务似乎不支持授权方法,或者至少不支持扩展,因此它们与这件事无关。

    读

    有关 API 网关和实现的更多详细信息,请参见此处:

    • microservices.io:API 网关模式
    • RedHat:API 网关有什么作用?
    • kubernetes.github.io:NginX Ingress 外部 OAUTH 身份验证
    • learnK8S.io:Kubernetes API 网关
    • cloud.spring.io:Spring 云网关
    • 4

相关问题

  • 是否可以以某种方式自定义 QTabWidget?

  • telebot.anihelper.ApiException 错误

  • Python。检查一个数字是否是 3 的幂。输出 无

  • 解析多个响应

  • 交换两个数组的元素,以便它们的新内容也反转

Sidebar

Stats

  • 问题 10021
  • Answers 30001
  • 最佳答案 8000
  • 用户 6900
  • 常问
  • 回答
  • Marko Smith

    如何从列表中打印最大元素(str 类型)的长度?

    • 2 个回答
  • Marko Smith

    如何在 PyQT5 中清除 QFrame 的内容

    • 1 个回答
  • Marko Smith

    如何将具有特定字符的字符串拆分为两个不同的列表?

    • 2 个回答
  • Marko Smith

    导航栏活动元素

    • 1 个回答
  • Marko Smith

    是否可以将文本放入数组中?[关闭]

    • 1 个回答
  • Marko Smith

    如何一次用多个分隔符拆分字符串?

    • 1 个回答
  • Marko Smith

    如何通过 ClassPath 创建 InputStream?

    • 2 个回答
  • Marko Smith

    在一个查询中连接多个表

    • 1 个回答
  • Marko Smith

    对列表列表中的所有值求和

    • 3 个回答
  • Marko Smith

    如何对齐 string.Format 中的列?

    • 1 个回答
  • Martin Hope
    Alexandr_TT 2020年新年大赛! 2020-12-20 18:20:21 +0000 UTC
  • Martin Hope
    Alexandr_TT 圣诞树动画 2020-12-23 00:38:08 +0000 UTC
  • Martin Hope
    Air 究竟是什么标识了网站访问者? 2020-11-03 15:49:20 +0000 UTC
  • Martin Hope
    Qwertiy 号码显示 9223372036854775807 2020-07-11 18:16:49 +0000 UTC
  • Martin Hope
    user216109 如何为黑客设下陷阱,或充分击退攻击? 2020-05-10 02:22:52 +0000 UTC
  • Martin Hope
    Qwertiy 并变成3个无穷大 2020-11-06 07:15:57 +0000 UTC
  • Martin Hope
    koks_rs 什么是样板代码? 2020-10-27 15:43:19 +0000 UTC
  • Martin Hope
    Sirop4ik 向 git 提交发布的正确方法是什么? 2020-10-05 00:02:00 +0000 UTC
  • Martin Hope
    faoxis 为什么在这么多示例中函数都称为 foo? 2020-08-15 04:42:49 +0000 UTC
  • Martin Hope
    Pavel Mayorov 如何从事件或回调函数中返回值?或者至少等他们完成。 2020-08-11 16:49:28 +0000 UTC

热门标签

javascript python java php c# c++ html android jquery mysql

Explore

  • 主页
  • 问题
    • 热门问题
    • 最新问题
  • 标签
  • 帮助

Footer

RError.com

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

帮助

© 2023 RError.com All Rights Reserve   沪ICP备12040472号-5