微服务架构的安全加固.pdf

微服务架构的安全加固

跟我做一个Java微服务项目

大纲

•微服务的安全挑战

•微服务的安全方案

•安全加固贴士

微服务的安全挑战

单体应用安全加固

每个用户请求都进行身份验证

没有Session的情况有Session的情况

1.检查用户凭证(登录)

2.查询用户角色检查Session是否过期

3.开始用户Session

请求、响应都在一个服务进程内处理

方法间调用可被信任

单体应用的身份验证

•身份验证都是有状态服务（statefulservice）

•移动端App兴起时成为问题

•RESTAPI为无状态

微服务架构安全加固

微服务架构安全加固难点

•更为大的攻击面

•微服务间如何知道谁在访问？

•微服务间该如何互相信任？

•认证服务瓶颈

•单点登录

•无状态服务

•SSO

•无状态

•对浏览器和客户端友好

•授权的颗粒度

微服务的身份验证与授权

•Authentication身份验证：对接收到的用户身份凭

证进行验证。

•Authorization角色授权：决定用户是否有访问某

些特定资源的权限。

•在微服务架构里：

•身份验证可以是一个单独的微服务

•角色授权可以是在微服务里面的功能

智慧城市的基础是什么

？

智慧城市是利用先进的信息技术和数据分析手段，对城市进行全方位、多角度地信息化、智能化改造，以提高城市管

理、服务和生活质量的现代化城市。其中，智慧城市的基础是由各种传感器和设备组成的物联网，以及其所产生的大

数据。

具体来说，智慧城市的基础建设包括以下几个方面：

1.物联网基础设施：构建智慧城市需要广泛应用传感器、控制设备、计算设备等智能设备，它们通过互联网相互连接，

形成一个庞大的物联网基础设施，为后续数据采集、处理、分析提供基础。

2.数据采集和处理技术：为了发挥物联网技术的作用，必须采集大量的数据并进行实时处理。这需要基于云计算、大

数据存储和分析等技术，构建可靠、高效、安全的数据采集和处理系统。

3.城市信息化基础设施：包括城市信息资源的数字化、标准化和共享，同时还需要建立城市信息化平台和服务系统，

实现政务信息公开、数字城管、电子商务等城市信息化应用。

4.智能交通系统：通过采用先进的交通控制和管理技术，实现城市交通拥堵和安全问题的有效解决，提高城市交通运

输效率和质量。

5.城市公共服务系统：包括城市公共安全服务、教育、医疗、环保等公共服务系统的信息化建设，以便更好地服务城

市居民和提高公共服务质量。

微服务的安全方案

APIGatewaySecurity

•请求的身份验证和授权由网关进行处理

•负载均衡器不直接向微服务请求数据

•服务间相互信任

•好处：无状态

•坏处：内部安全威胁

HTTPBasic每次验证

•每个服务都进行验证和授权

•每次在请求头部附加上身份验证信息

•好处：无状态(每次验证)，接入简单

•坏处：身份验证信息存储问题、授权管理问题

HTTPBasic+中心化身份数据库

•每个服务都进行验证和授权

•每次在请求头部附加上身份验证信息

•身份验证信息存储在中心数据库

•好处：中心化存储、无状态

•坏处：每次请求就有数据库查询、查询逻辑每个

服务都有

每个服务拥有各自Session

•与上面方案类似，除了每个服务将自行维护

session

•好处：身份验证中心数据库仅在session开始时被

请求一次

•坏处：分散的session难于管理、非单点登录、查

询逻辑每个服务都有

APITokens

•使用用户名、密码与身份验证服务器通信

•身份验证服务器将提供token，供其访问服务

•好处：不用每次提交用户身份信息

•坏处：身份验证服务器性能瓶颈、权限控制问题

SAML安全认定标记语言

•身份验证提供商给应用提