माइक्रोसिस्टवर्क प्रमाणीकरण रणनीति

मैं एक कठिन समय एक microservice वास्तुकला के लिए एक सभ्य / सुरक्षित प्रमाणीकरण रणनीति का चयन कर रहा हूँ। इस विषय पर मुझे जो एकमात्र SO पोस्ट मिली, वह यह है: माइक्रोसैस आर्किटेक्चर में सिंगल साइन-ऑन

यहाँ मेरा विचार प्रत्येक सेवा में है (उदाहरण के लिए प्रमाणीकरण, संदेश, सूचना, प्रोफ़ाइल आदि) प्रत्येक उपयोगकर्ता के लिए एक अनूठा संदर्भ (तार्किक रूप से तब उसका user_id) और वर्तमान उपयोगकर्ता के idलॉग इन होने की संभावना है।

मेरे शोध से, मुझे लगता है कि दो संभावित रणनीतियाँ हैं:

1. साझा वास्तुकला

इस रणनीति में, प्रमाणीकरण ऐप अन्य के बीच एक सेवा है। लेकिन प्रत्येक सेवा को रूपांतरण बनाने में सक्षम होना चाहिए session_id=> user_idइसलिए यह मृत सरल होना चाहिए। यही कारण है कि मैंने रेडिस के बारे में सोचा, जो कुंजी: मूल्य को संग्रहीत करेगा session_id:user_id।

2. फ़ायरवॉल वास्तुकला

इस रणनीति में, सत्र भंडारण वास्तव में मायने नहीं रखता है, क्योंकि यह केवल प्रमाणीकरण ऐप द्वारा नियंत्रित किया जाता है। फिर user_idअन्य सेवाओं के लिए अग्रेषित किया जा सकता है। मैंने रेल्स + डेविस (+ रेडिस या मेम-कैश्ड, या कुकी स्टोरेज, इत्यादि) के बारे में सोचा लेकिन इसमें संभावनाएँ हैं। केवल एक चीज यह है कि सेवा X को उपयोगकर्ता को प्रमाणित करने की आवश्यकता नहीं होगी।

उन दो समाधानों की तुलना में कैसे करें:

• सुरक्षा
• मजबूती
• scalability
• उपयोग में आसानी

या शायद आप एक और समाधान सुझाएंगे जिसका मैंने यहां उल्लेख नहीं किया है?

मुझे समाधान # 1 बेहतर लगता है, लेकिन इतना डिफ़ॉल्ट कार्यान्वयन नहीं मिला है जो मुझे इस तथ्य में सुरक्षित कर दे कि मैं सही दिशा में जा रहा हूं।

मुझे आशा है कि मेरा प्रश्न बंद नहीं होगा। मैं वास्तव में नहीं जानता कि इसे और कहां से पूछना है।

अग्रिम में धन्यवाद

जो मैं समझता हूं उसके आधार पर, OAuth 2 प्रोटोकॉल का उपयोग करके इसे हल करने का एक अच्छा तरीका है (आप इसके बारे में http://oauth.net/2/ पर थोड़ी अधिक जानकारी प्राप्त कर सकते हैं )

जब आपका उपयोगकर्ता आपके आवेदन में लॉग इन करता है तो उन्हें एक टोकन मिलेगा और इस टोकन के साथ वे अन्य सेवाओं को अनुरोध में उन्हें पहचानने के लिए भेज सकेंगे।

जंजीर माइक्रोसैके डिजाइन का उदाहरण

संसाधन:

• http://presos.dsyer.com/decks/microservice-security.html
• https://github.com/intridea/oauth2
• https://spring.io/guides/tutorials/spring-security-and-angular-js/

संक्षिप्त उत्तर: Oauth2.0 तरह के टोकन आधारित प्रमाणीकरण का उपयोग करें, जिसका उपयोग किसी भी प्रकार के एप्लिकेशन जैसे वेबैप या मोबाइल ऐप में किया जा सकता है। एक वेब अनुप्रयोग के लिए शामिल चरणों का अनुक्रम तब होगा

1. आईडी प्रदाता के खिलाफ प्रमाणित
2. कुकी में एक्सेस टोकन रखें
3. वेबप में पृष्ठों तक पहुँचें
4. सेवाओं को बुलाओ

नीचे दिए गए चित्र में उन घटकों को दर्शाया गया है जिनकी आवश्यकता होगी। वेब और डेटा एपिस को अलग करने वाला ऐसा आर्किटेक्चर एक अच्छा मापनीयता, लचीलापन और स्थिरता देगा

ओपन गेट कनेक्ट का उपयोग करके इसे लागू करने के लिए एपीआई गेटवे पैटर्न का उपयोग किया जाना चाहिए। उपयोगकर्ता IDP द्वारा प्रमाणित किया जाएगा और प्राधिकरण सर्वर से JWT टोकन प्राप्त करेगा। अब एपीआई गेटवे सिस्टम इस टोकन को रेडिस डेटाबेस में संग्रहीत कर सकता है और ब्राउज़र पर कुकी सेट कर सकता है। एपीआई गेटवे उपयोगकर्ता के अनुरोध को मान्य करने के लिए कुकी का उपयोग करेगा और माइक्रोसर्विसेज को टोकन भेजेगा।

एपीआई गेटवे सभी प्रकार के क्लाइंट ऐप जैसे पब्लिक जावा स्क्रिप्ट क्लाइंट ऐप, पारंपरिक वेब ऐप, देशी मोबाइल ऐप और माइक्रोसेवा आर्किटेक्चर में तीसरे पक्ष के क्लाइंट ऐप के लिए एकल प्रविष्टि बिंदु के रूप में कार्य करता है।

आप इसके बारे में अधिक जानकारी http://proficientblog.com/microservices-security/ पर प्राप्त कर सकते हैं

आप प्रमाणीकरण और प्राधिकरण के उद्देश्य के लिए अज्ञात सर्वर 4 का उपयोग कर सकते हैं

आपको फ़ायरवॉल आर्किटेक्चर का उपयोग करना चाहिए इसलिए आपके पास secutiry, मजबूती, स्केलेबिलिटी और उपयोग में आसानी पर अधिक नियंत्रण है