Strategia di autenticazione dei microservizi

Sto facendo fatica a scegliere una strategia di autenticazione decente / sicura per un'architettura a microservizi. L'unico post SO che ho trovato sull'argomento è questo: Single Sign-On in Microservice Architecture

La mia idea qui è quella di avere in ogni servizio (es. Autenticazione, messaggistica, notifica, profilo ecc.) Un riferimento univoco a ciascun utente (abbastanza logicamente quindi il suo user_id) e la possibilità di ottenere l'utente corrente idse ha effettuato l'accesso.

Dalle mie ricerche, vedo che ci sono due possibili strategie:

1. Architettura condivisa

In questa strategia, l'app di autenticazione è un servizio tra l'altro. Ma ogni servizio deve essere in grado di rendere la conversione session_id=> user_idquindi deve essere semplice. Ecco perché ho pensato a Redis, che avrebbe archiviato la chiave: valore session_id:user_id.

2. Architettura del firewall

In questa strategia, l'archiviazione delle sessioni non ha molta importanza, poiché è gestita solo dall'app di autenticazione. Quindi user_idpuò essere inoltrato ad altri servizi. Ho pensato a Rails + Devise (+ Redis o mem-cache, o cookie storage, ecc.) Ma ci sono tonnellate di possibilità. L'unica cosa che conta è che Service X non dovrà mai autenticare l'utente.

Come si confrontano queste due soluzioni in termini di:

• sicurezza
• robustezza
• scalabilità
• facilità d'uso

O forse suggeriresti un'altra soluzione che non ho menzionato qui?

Mi piace di più la soluzione n. 1 ma non ho trovato molte implementazioni predefinite che mi garantirebbero il fatto che sto andando nella giusta direzione.

Spero che la mia domanda non venga chiusa. Non so davvero dove altro chiederlo.

Grazie in anticipo

Sulla base di quello che ho capito, un buon modo per risolverlo è usare il protocollo OAuth 2 (puoi trovare qualche informazione in più su http://oauth.net/2/ )

Quando l'utente accede all'applicazione riceverà un token e con questo token sarà in grado di inviare ad altri servizi per identificarli nella richiesta.

Esempio di design a microservizio incatenato

risorse:

• http://presos.dsyer.com/decks/microservice-security.html
• https://github.com/intridea/oauth2
• https://spring.io/guides/tutorials/spring-security-and-angular-js/

Risposta breve: utilizzare l'autenticazione basata su token di tipo Oauth2.0, che può essere utilizzata in qualsiasi tipo di applicazione come un'app Web o un'app mobile. La sequenza dei passaggi necessari per un'applicazione Web sarebbe quindi

1. autenticare con il provider di ID
2. mantenere il token di accesso nei cookie
3. accedere alle pagine in webapp
4. chiama i servizi

Lo schema seguente mostra i componenti che sarebbero necessari. Tale architettura che separa il web e le API dei dati fornirà una buona scalabilità, resilienza e stabilità

Il modello di gateway API deve essere utilizzato per implementarlo utilizzando OpenID Connect. L'utente verrà autenticato da IDP e otterrà il token JWT dal server di autorizzazione. Ora il sistema gateway API può memorizzare questo token nel database Redis e impostare il cookie sul browser. Il gateway API utilizzerà il cookie per convalidare la richiesta dell'utente e invierà il token ai microservizi.

API Gateway funge da punto di accesso unico per tutti i tipi di app client come l'app client java script pubblica, l'app Web tradizionale, l'app mobile nativa e le app client di terze parti nell'architettura Microservice.

Puoi trovare maggiori dettagli a riguardo su http://proficientblog.com/microservices-security/

è possibile utilizzare idenitty server 4 per scopi di autenticazione e autorizzazione

devi usare Firewall Architecture quindi hai un maggiore controllo su sicurezza, robustezza, scalabilità e facilità d'uso