微服务架构中的鉴权是确保系统安全的重要部分,主要用于验证请求者的身份并授权其访问特定资源。
鉴权的基本概念
- 认证(Authentication):验证用户或服务的身份。
- 授权(Authorization):决定认证通过的用户或服务可以访问哪些资源。
常用鉴权策略
- API密钥:简单但安全性较低,适用于内部服务间通信。
- OAuth 2.0:标准的授权框架,通过发放令牌(token)管理资源的访问权限。
- JWT(JSON Web Tokens):自包含的令牌,包含加密的用户信息,广泛用于身份验证和信息交换。
- OpenID Connect:在OAuth 2.0基础上增加了用户身份验证的层次。
鉴权操作流程
以OAuth 2.0和JWT结合使用为例:
- 用户认证:用户向认证服务器发送认证请求(用户名和密码)。
- 发放令牌:认证服务器验证用户凭据,发放访问令牌(通常是JWT)。
- 服务请求:客户端使用访问令牌请求微服务。
- 验证令牌:微服务或API网关验证令牌的有效性。
- 授权访问:令牌验证通过后,根据令牌中的权限信息决定是否允许访问资源。
示例代码(Python 使用 Flask 和 JWT)
如何在Flask应用中使用JWT进行鉴权:
from flask import Flask, request, jsonify
from flask_jwt_extended import JWTManager, create_access_token, jwt_required, get_jwt_identity
app = Flask(__name__)
app.config['JWT_SECRET_KEY'] = 'your-secret-key' # Change this!
jwt = JWTManager(app)
@app.route('/login', methods=['POST'])
def login():
username = request.json.get('username')
password = request