案例如何保证微服务实例资源安全海量.pdfVIP

本文由简悦SimpRead转码，原文地址

今天我和你的是如何保证微服务实例资源安全的案例。

在上一中，我们实践了如何使用Go一个基本的服务器，它的主要功能是颁发令牌和

验证令牌的有效性。在统一认证与服务体系中，还存在资源服务器对用户数据进行保护，它允

许携带有效令牌的客户端请求用户资源。

在本，基于Go实现一个基本的资源服务器，让其为用户数据保驾护航。

整体结构

资源服务器会在请求进入具体的资源端点之前，对请求中携带的令牌进行校验，比较常用的做法是

采用器的方式实现，如下图所示：

资源服务器中请求流程图

请求在进入具体的资源端点之前，会至少经过令牌认证器和权限检查器这两个器，以及其

中，如果令牌无效，将会请求，返回认证错误。权限检查器会按照预设的权限规则对请求

上下文中的客户端和用户信息进行权限检查，如果权限不足也会，返回鉴权错误。

对此我们可以将资源服务器设计为以下几个模块，如图所示：

资源服务器模块组成图

OAuth2AuthorizationContext（认证上下文处理器），负责从请求解析出令牌，委托

ResourceServerTokenService验证令牌的有效性，获取令牌对应的客户端和用户信息。

OAuth2AuthorizationMiddleware（认证中间件），检查请求上下文是否存在客户端和用户信

息。

AuthorityAuthorizationMiddleware（权限检查中间件），从请求上下文中获取客户端和用户

信息，并根据预设的权限规则对请求的客户端和用户信息进行鉴权。

ResourceServerTokenService（资源服务器令牌服务），帮助资源服务器检验令牌的有效

性以及获取令牌绑定的客户端和用户信息。

接下来，我们就来详细讲解一下如何实现资源服务器。

认证上下文处理器

客户端在请求资源服务器中被保护的端点时，默认会把令牌放到Authorization请求头，然后资源

服务器会在请求进入Endpoint之前，从Authorization请求头中获取令牌用于验证用户。

OAuth2AuthorizationContext（认证上下文处理器）用于从Authorization请求头解析出令牌，

并使用ResourceServerTokenService根据令牌获取用户信息和客户端信息。构建

OAuth2AuthorizationContext的代码如下所示：

funcmakeOAuth2AuthorizationContext(tokenServiceservice.

ResourceServerTokenService,loggerlog.Logger)kithttp.RequestFunc{

returnfunc(ctxcontext.Context,r*http.Request)context.Context{

accessTokenValue:=r.Header.Get(Authorization)

varerrerror

ifaccessTokenValue!={

oauth2Details,err:

tokenService.GetOAuth2DetailsByAccessToken(accessTokenValue)

iferr!=nil{

returncontext.WithValue(ctx,endpoint.OAuth2ErrorKey,err)

}

returncontext.WithValue(ctx,endpoint.OAuth2DetailsKey,oauth2Details)

}else{

err=ErrorTokenRequ