基于Apache Shrio的微服務(wù)認(rèn)證授權(quán)方案

遼河石油勘探局有限公司信息工程分公司 林哲

信息化的高速發(fā)展推動了計算機(jī)應(yīng)用架構(gòu)的迭代演進(jìn)，傳統(tǒng)單體應(yīng)用項目的認(rèn)證與授權(quán)方式已不適用于基于微服務(wù)架構(gòu)的系統(tǒng)應(yīng)用。本文提出了一種微服務(wù)架構(gòu)下的認(rèn)證授權(quán)方案，基于Apache Shrio整合Oauth2.0協(xié)議，實現(xiàn)獨立的微服務(wù)認(rèn)證與授權(quán)中心；整合JWT作為認(rèn)證令牌，增強(qiáng)系統(tǒng)的安全性、易用性。對于原有項目升級改造以及微服務(wù)應(yīng)用構(gòu)建開發(fā)均具備一定的參考價值。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展、應(yīng)用規(guī)模的不斷擴(kuò)大，以及應(yīng)用場景的日趨復(fù)雜化，計算機(jī)應(yīng)用架構(gòu)也在不斷演變，逐漸從單體應(yīng)用架構(gòu)演化出了微服務(wù)架構(gòu)等更加有利于資源匹配的架構(gòu)形式。隨之產(chǎn)生的問題是單體架構(gòu)中的認(rèn)證授權(quán)機(jī)制不能直接應(yīng)用到微服務(wù)架構(gòu)中，需要重新設(shè)計一種認(rèn)證授權(quán)方案，使其符合微服務(wù)無狀態(tài)、資源分散、技術(shù)多樣性等特點。Apache Shrio作為單體應(yīng)用中的主流安全框架，是一個強(qiáng)大易用的Java安全框架，提供了認(rèn)證、授權(quán)、加密和會話管理等功能，可以為任何應(yīng)用提供安全保障[1]。Shiro提供的接口使其具有靈活的擴(kuò)展能力，具備擴(kuò)展為微服務(wù)架構(gòu)安全框架的可能性。Oauth2.0協(xié)議的出現(xiàn)則為開發(fā)人員提供了一整套適用于微服務(wù)架構(gòu)的認(rèn)證授權(quán)開發(fā)標(biāo)準(zhǔn)。本文基于上述技術(shù)，研究了單體項目和微服務(wù)認(rèn)證授權(quán)的機(jī)制，提出一種微服務(wù)架構(gòu)下的認(rèn)證與授權(quán)方案。

1 技術(shù)路線

1.1 微服務(wù)

微服務(wù)是一種軟件架構(gòu)方案，通常由一組職責(zé)單一、具備自治性的獨立服務(wù)組成。服務(wù)之間由服務(wù)注冊、服務(wù)發(fā)現(xiàn)、網(wǎng)關(guān)、鏈路追蹤、熔斷機(jī)制等技術(shù)進(jìn)行管理、維護(hù)。相較于單體項目，微服務(wù)架構(gòu)具備以下優(yōu)勢：

（1）彈性配置。微服務(wù)之間通過一些輕量級的通信機(jī)制進(jìn)行通信，由于服務(wù)本身及網(wǎng)絡(luò)情況的不確定性，通信間的交互可能出現(xiàn)故障。由于微服務(wù)架構(gòu)中的服務(wù)通常具備獨立職責(zé)且結(jié)構(gòu)完整，而微服務(wù)應(yīng)用程序的彈性也主要取決于微服務(wù)通信的可靠性。因此微服務(wù)提供了許多機(jī)制來保證微服務(wù)應(yīng)用程序的彈性，其中包括超時、重試、斷路器、快速故障、隔板、事務(wù)、負(fù)載平衡，故障轉(zhuǎn)移和保證的交付等。（2）獨立擴(kuò)展。在傳統(tǒng)單體項目中，對單一服務(wù)進(jìn)行拓展時，由于系統(tǒng)間的服務(wù)耦合度高，導(dǎo)致系統(tǒng)整體也會受到影響。而微服務(wù)體系是由一組相對獨立的服務(wù)組成，可以指向性地針對特定服務(wù)進(jìn)行單獨擴(kuò)展，這樣就能根據(jù)實際需求合理分配資源到不同的服務(wù)中去，從而達(dá)到最佳的性能效果。（3）簡化部署。單體項目改版發(fā)布的難度隨其代碼規(guī)模的增長而增長，任何變動都需要整個項目重新部署。對于大體量項目來說，項目的重新部署以及處理可能產(chǎn)生的BUG都需要很高的成本，且具有很高的風(fēng)險度。微服務(wù)由于互相之間相對獨立，單一微服務(wù)體量小易部署，即使產(chǎn)生BUG，也能夠快速回滾到之前的穩(wěn)定版本進(jìn)行部署，對當(dāng)前運行的其他程序影響不大。

1.2 Apache Shiro

Apache Shiro是一種功能強(qiáng)大且易于使用的Java安全框架，它具有身份驗證、訪問授權(quán)、數(shù)據(jù)加密、會話管理等功能，可用于保護(hù)任何應(yīng)用程序的安全[2]。Shiro主要由3個組件構(gòu)成，分別為主體（Subject）、安全管理器（Security Manager）和領(lǐng)域（Realm）。

（1）主體。Subject是一個抽象概念，表示與程序交互的對象，是Shiro框架對外的核心對象。代表當(dāng)前“用戶”，“用戶”一次不一定指的是人，也可以是其他應(yīng)用程序、接口等。Subject作為對外接口，其中的交互操作實際都是由Security Manager來完成。（2）安全管理器。Security Manager是Shiro框架的核心組件。所有涉及系統(tǒng)安全的相關(guān)操作都會與Security Manager進(jìn)行交互，Security Manager負(fù)責(zé)管理Shiro中的其他組件，協(xié)調(diào)各組件共同完成安全管理任務(wù)。（3）領(lǐng)域。Realm是安全信息數(shù)據(jù)源，內(nèi)部封裝了通用數(shù)據(jù)源鏈接，用于作為安全驗證的參考數(shù)據(jù)。當(dāng)進(jìn)行授權(quán)、令牌獲取、令牌認(rèn)證等操作時，Shiro通過配置的Realm查找相關(guān)的數(shù)據(jù)信息，Realm可以配置一個或多個。當(dāng)Shrio默認(rèn)提供的Realm無法滿足需求時，可以自定義領(lǐng)域?qū)崿F(xiàn)，形成定制化數(shù)據(jù)源。

1.3 JWT

Json Web Token (JWT)是一個基于 RFC7519 的信息傳遞協(xié)議，是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)[3]。JWT是由點符號連接的3個部分組成，分別為標(biāo)頭（Header）、載荷（Payload）和簽名（Signature），其中Header存儲了所使用的加密算法和Token類型；Payload是一個JSON對象，作為JWT的主體部分，官方規(guī)定了7個字段供開發(fā)者選用，也可以自定義字段和內(nèi)容；Signature是對前2個部分的簽名，作用是防止數(shù)據(jù)篡改。這3個部分分別單獨進(jìn)行Base64編碼后使用點符號拼接成完整的JWT。相比傳統(tǒng)的Session認(rèn)證方式，基于Token的認(rèn)證方式更適用于移動端和分布式，且更節(jié)約計算資源，具備支持跨域訪問、無狀態(tài)、適用于CDN、無需考慮CSRF等特性。

1.4 Oauth2.0

OAuth2.0是一個授權(quán)第三方服務(wù)訪問Web項目的安全協(xié)議。OAuth2.0將第三方應(yīng)用與用戶的安全信息進(jìn)行分隔，并且提供簡單、標(biāo)準(zhǔn)的實現(xiàn)方案來訪問應(yīng)用中受保護(hù)的資源。該協(xié)議具備開放、靈活、簡單、安全等特點。OAuth2.0采用無狀態(tài)的認(rèn)證授權(quán)方式，以令牌作為安全信息的載體，適用于多服務(wù)獨立部署的微服務(wù)架構(gòu)。令牌基于Rest風(fēng)格的API在服務(wù)間進(jìn)行傳遞。

1.5 Apache Oltu

Apache Oltu是OAuth2.0協(xié)議基于Java語言的實現(xiàn)，具有輕量、簡單、靈活等特點。Apache Oltu源碼包分為4個部分：

（1）Issuer：生成授權(quán)碼和訪問令牌，刷新令牌；（2）Request：封裝授權(quán)碼請求和令牌請求的邏輯，并提供相應(yīng)的校驗服務(wù)；（3）Response：封裝授權(quán)流程中的響應(yīng)邏輯，提供生成不同響應(yīng)結(jié)果的方法；（4）Validator：為Request提供校驗服務(wù)。

2 方案設(shè)計

（1）微服務(wù)入口處理。微服務(wù)架構(gòu)通常由API網(wǎng)關(guān)作為系統(tǒng)對外的唯一入口。因此網(wǎng)關(guān)可以整合令牌的初步認(rèn)證。通過獲取請求中的令牌信息，并對信息進(jìn)行解析、校驗等操作，實現(xiàn)身份認(rèn)證以及部分授權(quán)功能。另外，網(wǎng)關(guān)需要設(shè)置白名單，即驗證碼、令牌獲取等請求不需要進(jìn)行身份認(rèn)證即可訪問。（2）獲取授權(quán)碼。當(dāng)外部應(yīng)用對服務(wù)發(fā)起授權(quán)碼請求時，網(wǎng)關(guān)通過判斷請求在白名單列表中，直接將請求轉(zhuǎn)發(fā)至認(rèn)證中心。認(rèn)證中心對用戶名密碼進(jìn)行驗證，驗證通過后生成授權(quán)碼，并以重定向URL參數(shù)的形式返回給用戶。(3)令牌的選擇及獲取。方案采取無狀態(tài)認(rèn)證授權(quán)方式，使用Token作為安全信息載體。為提高令牌的安全性、易用性、靈活性，采用JWT作為令牌實現(xiàn)。經(jīng)由網(wǎng)關(guān)白名單釋放的令牌獲取請求到達(dá)認(rèn)證中心。認(rèn)證中心對請求中攜帶的授權(quán)碼驗證，驗證通過后生成驗證碼。（4）資源授權(quán)。當(dāng)請求攜帶有效Token訪問服務(wù)時，網(wǎng)關(guān)通過對Token的解析，獲取身份信息及權(quán)限信息。并將信息重新加密后通過請求傳遞給資源中心，資源中心解密信息后，將信息存入安全上下文。資源中心根據(jù)上下文中的權(quán)限信息對請求進(jìn)行授權(quán)并獲取資源，最終完成請求訪問流程。

3 功能實現(xiàn)

3.1 網(wǎng)關(guān)整合令牌認(rèn)證

通過實現(xiàn)Spring Cloud Gateway的GlobalFilter實現(xiàn)對網(wǎng)關(guān)訪問請求的攔截，從中獲取令牌，并使用JWTStore進(jìn)行解析，獲取權(quán)限信息及身份信息并進(jìn)行身份認(rèn)證。認(rèn)證通過后，將安全信息編碼后添加到請求，通過Filter Chain向后傳遞。

public Mono＜Void＞ filter(ServerWebExchange exchange， GatewayFilterChain chain) {

String requestUrl = exchange.getRequest().getPath().value()；

AntPathMatcher pathMatcher = new AntPath Matcher()；

//1 認(rèn)證中心服務(wù)所有放行

if (pathMatcher.match("/sso-server/**"，requestUrl)) {

return chain.filter(exchange)；

}

//2 檢查token是否存在

String token = getToken(exchange)；

if (!StringUtils.hasLength(token)) {

return noTokenMono(exchange)；

}

//3 判斷是否是有效的token

OAuth2AccessToken oAuth2AccessToken；

try {

oAuth2AccessToken = tokenStore.readAccess Token(token)；

Map＜String， Object＞ additionalInformation =oAuth2AccessToken.getAdditionalInformation()；

//取出用戶身份信息

String principal = (String)additionalInformation.get("user_name")；

//獲取用戶權(quán)限

List＜String＞ authorities = (List＜String＞)additionalInformation.get("authorities")；

HashMap hashMap = new HashMap()；

hashMap.put("principal"，principal)；

hashMap.put("authorities"，authorities)；

//給header添加值

String base64 = ""；

try {

base64 = EncryptUtil.encodeUTF8StringBase64(new ObjectMapper().writeValueAsString(hashMap))；

} catch (IOException e) {

e.printStackTrace()；

}

ServerHttpRequest tokenRequest = exchange.get Request().mutate().header("json-token"， base64).build()；

ServerWebExchange build = exchange.mutate().request(tokenRequest).build()；

return chain.filter(build)；

} catch (InvalidTokenException e) {

return invalidTokenMono(exchange)；

}

}

3.2 獲取授權(quán)碼

授權(quán)碼獲取采用Shiro整合Oltu實現(xiàn)。通過Subject狀態(tài)判斷用戶是否已登錄，如果通過狀態(tài)判定，則生成授權(quán)碼，并以重定向方式將授權(quán)碼返回給客戶端。

//封裝OAth請求

OAuthAuthzRequest authzRequest=new OAuth AuthzRequest(request)；

//檢查client_id

if(!checkClientId(authzRequest.getClientId())){

//錯誤則構(gòu)造錯誤響應(yīng)

return "error"；

}

//判斷用戶登錄狀態(tài)

Subject subject=SecurityUtils.getSubject()；

if(!subject.isAuthenticated())

return "oauth2login"；

}

//判斷狀態(tài)為登錄成功，則生成授權(quán)碼code

String username=(String)subject.getPrincipal()；

String authorizCode=null；

String responseType= authzRequest

.getParam("response_type")；

if(responseType.equals("code")){

//生成authCode

OAuthIssuerImpl issuerImpl=new OAuthIssuerImpl(

new MD5Generator())；

authorizCode= issuerImpl.authorizationCode()；

addAuthCode(authorizCode，username)；

}

//重定向回客戶端地址

String redURI=authzRequest

.getParam("redirectUrl")；

final OAuthResponse response= OAuthASResponse

.authorizationResponse(request，302)

.setCode(authorizCode)

.location(redURI)

.buildQueryMessage()；

HttpHeaders hs=new HttpHeaders()；

URI uri = new URI(response.getLocationUri())；

hs.setLocation(uri)；

return new ResponseEntity(hs， HttpStatus.FOUND)；

3.3 獲取令牌

Shiro的領(lǐng)域接口提供了Supports方法，用于設(shè)置Realm支持的Token類型。重寫Supports方法，指定Token驗證類型為封裝的JWT類型，為整合JWT做準(zhǔn)備。通過對自定義Realm中的認(rèn)證方法進(jìn)行重寫，增加令牌認(rèn)證功能。

public class JwtShiroRealm extends AuthorizingRealm{

@Override

public boolean supports(AuthenticationToken token) {

return token instanceof JwtToken；

}

// 認(rèn)證

@Override

protected AuthenticationInfo doGetAuthenticationInfo(Au thenticationToken token) throws AuthenticationException {

String credentials = (String) token.getCredentials()；

// 解密獲得username，用于和數(shù)據(jù)庫進(jìn)行對比

String username = JwtUtil.getUsername(credentials)；

if ("admin".equals(username)) {

//數(shù)據(jù)庫查出來的用戶

User user = getUser()；

//驗證密碼是否正確

if (JwtUtil.verify(tokenStr， username， user.get Password())) {

log.info("登錄成功")；

} else {

throw new UnknownAccountException("用戶名密碼錯誤")；

}

SimpleAuthenticationInfo simpleAuthenticationInfo= new SimpleAuthenticationInfo(token.getCredentials()，token.getCredentials()， this.getName())；

return simpleAuthenticationInfo；

}

return null；

}

}

3.4 整合JWT實現(xiàn)

自定義JWT工具類，實現(xiàn)生成令牌、令牌驗證、獲取對應(yīng)信息等相關(guān)功能。

public class JwtUtil {

private static final long EXPIRE_TIME = 60 *60 * 1000；

//校驗token

public static boolean check(String token， String name， String secret) {

try {

//根據(jù)秘鑰生成JWT效驗器

Algorithm alg = Algorithm.HMAC256(secret)；

JWTVerifier verif = JWT.require(alg)

.withClaim("username"， name)

.build()；

//校驗token

DecodedJWT dcjwt = verif.verify(token)；

return true；

} catch (Exception e) {

return false；

}

}

//獲取用戶名

public static String getUsername(String token) {

try {

DecodedJWT jwt = JWT.decode(token)；

return jwt.getClaim("username").asString()；

} catch (JWTDecodeException e) {

return null；

}

}

//生成token

public static String sign(String uname， String secret) {

return JWT.create()

.withJWTId(UUID.randomUUID().toString())

.withClaim("username"， uname)

.withExpiresAt(new Date(getCurrentDate()))

.sign(Algorithm.HMAC256(secret))；

}

}

4 結(jié)語

本文通過對Apache Shiro、JWT、微服務(wù)架構(gòu)等技術(shù)的介紹與分析，提出了一種基于Apache Shiro的微服務(wù)認(rèn)證授權(quán)方案。方案在保留Shiro原有特性的前提下，實現(xiàn)了對微服務(wù)架構(gòu)的適配，具有高效率、高安全性、低耦合度、可擴(kuò)展等特點。方案所實現(xiàn)的安全框架能夠完成認(rèn)證授權(quán)在微服務(wù)架構(gòu)中的完全覆蓋，同時也保留了一定的靈活性，讀者可以根據(jù)實際情況調(diào)整安全框架的有效范圍，從而找到應(yīng)用整體的最佳運行效果。

引用

[1]時子慶,劉金蘭,譚曉華.基于OAuth2.0的認(rèn)證授權(quán)技術(shù)[J].計算機(jī)系統(tǒng)應(yīng)用,2012,21(3):260-264.

[2]梁清華,胡安明.Apache Shiro框架在Web系統(tǒng)的安全應(yīng)用研究[J].電腦知識與技術(shù),2021,17(6):52-53.

[3]范展源,羅福強(qiáng).JWT認(rèn)證技術(shù)及其在WEB中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2016(2):114.