王冠

摘 要

本文基于企業(yè)系統(tǒng)微服務(wù)架構(gòu)應(yīng)用場景，針對核電行業(yè)高安全性要求，在OAuth2.0協(xié)議的基礎(chǔ)上從建立統(tǒng)一身份認(rèn)證門戶的角度出發(fā)，使用SOA架構(gòu)排除了信息孤島，打造了提升用戶體驗(yàn)的便利場景，并通過門戶負(fù)載、認(rèn)證負(fù)載、信息系統(tǒng)服務(wù)拆分、數(shù)據(jù)庫拆分、業(yè)務(wù)與數(shù)據(jù)治理等方面建立了基于微服務(wù)架構(gòu)，身份認(rèn)證門戶與系統(tǒng)應(yīng)用融合的發(fā)展趨勢分析，形成了一整套較好的解決方案，在行業(yè)內(nèi)有較強(qiáng)的借鑒意義和指導(dǎo)作用。

關(guān)鍵詞

微服務(wù);身份認(rèn)證;門戶;OAuth2.0 架構(gòu)

中圖分類號： TP393.09 ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.19.085

0 引言

隨著企業(yè)統(tǒng)一身份認(rèn)證門戶的建設(shè)與發(fā)展，并且基于統(tǒng)一用戶賬戶管理、統(tǒng)一身份認(rèn)證平臺、統(tǒng)一權(quán)限管理平臺、統(tǒng)一審計(jì)管理、統(tǒng)一人員主數(shù)據(jù)、統(tǒng)一移動平臺等方面建設(shè)，通過應(yīng)用聚合、功能聚合、待辦聚合、信息聚合的一體化集成方案，將所有的業(yè)務(wù)應(yīng)用系統(tǒng)聚合，借助內(nèi)容信息管理和站點(diǎn)注冊，最終實(shí)現(xiàn)全方位后臺管理，形成一站式的門戶展示平臺。

基于SOA架構(gòu)整合的核心統(tǒng)一認(rèn)證服務(wù)，主流的認(rèn)證服務(wù)通常遵循標(biāo)準(zhǔn)的OAuth2.0協(xié)議，通過結(jié)合微服務(wù)的分布式架構(gòu)，企業(yè)對于信息系統(tǒng)的業(yè)務(wù)治理、數(shù)據(jù)治理、安全治理、應(yīng)用治理等方面的可實(shí)現(xiàn)全面的管理提升。

1 認(rèn)證協(xié)議OAuth2.0與微服務(wù)介紹

OAuth（Open Authorization）又稱開放認(rèn)證，2010年OAuth1.0被IETF認(rèn)定為互聯(lián)網(wǎng)標(biāo)準(zhǔn)協(xié)議，OAuth2.0 在其1.0的版本上得以升級，其主要支持瀏覽器訪問、PC客戶端訪問、移動APP訪問、物聯(lián)設(shè)備訪問等不同的應(yīng)用場景。OAuth2.0具備安全的運(yùn)行機(jī)制，通過訪問令牌授權(quán)，保護(hù)用戶的賬號、密碼等敏感信息;開發(fā)簡單，支持PHP、JavaScript、Python等多語言開發(fā)環(huán)境;運(yùn)行環(huán)境開放，支持PC端、移動端APP、物聯(lián)設(shè)備等多種設(shè)備和運(yùn)行環(huán)境[1]。

微服務(wù)系統(tǒng)應(yīng)用通過服務(wù)拆分，形成微小且獨(dú)立的服務(wù)，微服務(wù)架構(gòu)接口豐富，具有高自由度、高內(nèi)聚性、高自治能力等特征。微服務(wù)架構(gòu)通過靈活的接口調(diào)用，打通了微服務(wù)之間的業(yè)務(wù)數(shù)據(jù)互訪，由此形成了松耦合結(jié)構(gòu)的特征。微服務(wù)架構(gòu)可根據(jù)業(yè)務(wù)的邊界迅速確定對應(yīng)其系統(tǒng)應(yīng)用的邊界，具備高自由度特征。微服務(wù)架構(gòu)在應(yīng)對當(dāng)今核電行業(yè)對高實(shí)時(shí)性、高可靠性、高業(yè)務(wù)延展性、高敏捷開發(fā)的要求，具備著比較大的優(yōu)勢，通過微服務(wù)治理能迅速解決傳統(tǒng)核電信息系統(tǒng)中信息孤島帶來的一系列問題[2]。

2 統(tǒng)一身份認(rèn)證門戶訪問機(jī)制

目前主流的統(tǒng)一身份認(rèn)證門戶，在身份認(rèn)證方面通常遵循標(biāo)準(zhǔn)的OAuth2.0與OIDC協(xié)議，該認(rèn)證接入方式主要是針對B/S架構(gòu)的業(yè)務(wù)系統(tǒng)，接入統(tǒng)一認(rèn)證類庫。

授權(quán)碼模式是統(tǒng)一身份認(rèn)證門戶功能最完整、流程最嚴(yán)密的授權(quán)模式，同時(shí)也是國際標(biāo)準(zhǔn)OAuth2.0和OIDC協(xié)議的推薦模式。

統(tǒng)一身份認(rèn)證門戶采用OAuth2.0 協(xié)議授權(quán)給用戶訪問的具體過程：

①統(tǒng)一身份認(rèn)證門戶通過身份認(rèn)證中心的授權(quán)登錄頁面向用戶請求權(quán)限;

②統(tǒng)一身份認(rèn)證門戶得到用戶授權(quán)的會話許可，此許可可供訪問業(yè)務(wù)系統(tǒng)資源服務(wù);

③統(tǒng)一身份認(rèn)證門戶通過私有證書在內(nèi)部認(rèn)證中心進(jìn)行鑒權(quán)，請求訪問令牌;

④內(nèi)部認(rèn)證中心驗(yàn)證通過，向前端發(fā)放訪問令牌;

⑤統(tǒng)一身份認(rèn)證門戶使用訪問令牌向被訪問的業(yè)務(wù)系統(tǒng)發(fā)送訪問申請，業(yè)務(wù)系統(tǒng)通過鑒權(quán)后，提供受保護(hù)的用戶信息[3]。

總體來說，業(yè)務(wù)系統(tǒng)和統(tǒng)一認(rèn)證平臺的整個(gè)交互過程，以用戶登錄統(tǒng)一認(rèn)證登錄頁面開始，點(diǎn)擊業(yè)務(wù)系統(tǒng)鏈接，通過單點(diǎn)登錄實(shí)現(xiàn)用戶無感進(jìn)入業(yè)務(wù)系統(tǒng)。

3 微服務(wù)的集中式與分布式架構(gòu)

集中式訪問控制架構(gòu)-在統(tǒng)一身份認(rèn)證門戶的基礎(chǔ)上，接入不同的微服務(wù)業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)集中式的路由訪問模式。不同的訪問請求匯聚到統(tǒng)一用戶授權(quán)服務(wù)中，由其進(jìn)行統(tǒng)一權(quán)限校驗(yàn)，并路由到訪問請求的業(yè)務(wù)服務(wù)中。統(tǒng)一授權(quán)服務(wù)管理接入到集成平臺對應(yīng)接口的微服務(wù)業(yè)務(wù)系統(tǒng)權(quán)限。通過該權(quán)限校驗(yàn)可路由到指定業(yè)務(wù)系統(tǒng)中;未通過校驗(yàn)，則返回至客戶端頁面并提示無訪問權(quán)限。集中式架構(gòu)一方面采用了高集權(quán)、高統(tǒng)一、高聚合的權(quán)限中心進(jìn)行身份校驗(yàn)，將非法的訪問控制請求拒絕，并阻斷在統(tǒng)一身份認(rèn)證門戶的外部;另一方面方便了管理員與用戶的使用體驗(yàn)，更方便地實(shí)現(xiàn)授權(quán)、維護(hù)的統(tǒng)一管理，提高了管理力度與效率。集中式架構(gòu)的缺點(diǎn)是過于依賴同一個(gè)中心來處理不同請求，如訪問請求過載時(shí)，統(tǒng)一認(rèn)證中心相對壓力較大，此時(shí)連接池的線程較多，容易出現(xiàn)拋棄線程的單點(diǎn)故障和排隊(duì)效應(yīng)的性能瓶頸?；谠谖⒎?wù)系統(tǒng)中微服務(wù)業(yè)務(wù)相對較少的場景時(shí)，該服務(wù)可較好適應(yīng)，但承擔(dān)更大的訪問壓力時(shí)，統(tǒng)一權(quán)限中心和門戶的性能將受到影響。

在分布式訪問控制微服務(wù)架構(gòu)中，每個(gè)服務(wù)分別擁有獨(dú)立的訪問控制站點(diǎn)，需要將統(tǒng)一認(rèn)證中心進(jìn)行分布式部署，如圖所示。與集中式架構(gòu)相比，分布式權(quán)限管理將權(quán)限的校驗(yàn)站點(diǎn)部署在應(yīng)用服務(wù)的前端，為應(yīng)用服務(wù)提供輕量級訪問，提高權(quán)限管理的靈活性。針對B/S架構(gòu)下的訪問，通過圖示路由處理訪問請求對應(yīng)的應(yīng)用服務(wù)，并在分布式站點(diǎn)中完成權(quán)限校驗(yàn)，執(zhí)行訪問。同一個(gè)認(rèn)證站點(diǎn)也可支持不同應(yīng)用服務(wù)同時(shí)訪問，降低運(yùn)行服務(wù)成本。通過分布式訪問控制架構(gòu)更適用于應(yīng)用服務(wù)數(shù)量多、跨地域部署、權(quán)限靈活多變等不同的業(yè)務(wù)場景，在不同的微服務(wù)分支結(jié)構(gòu)中維護(hù)本區(qū)域的權(quán)限信息，進(jìn)行相對而獨(dú)立的訪問控制，在統(tǒng)一認(rèn)證中心權(quán)限同步分發(fā)部署的情況下，不會對其他的服務(wù)產(chǎn)生關(guān)聯(lián)影響[4]。

4 企業(yè)身份認(rèn)證門戶與微服務(wù)的融合

分布式微服務(wù)架構(gòu)在如下方面進(jìn)行了拆分：

①分布式負(fù)載均衡門戶：通過Nginx的分布式部署，讓統(tǒng)一身份認(rèn)證門戶實(shí)現(xiàn)了多服務(wù)器端負(fù)載訪問，實(shí)現(xiàn)了用戶展示層的冗余交互，提高了用戶展示層的性能;

②分布式統(tǒng)一認(rèn)證中心部署：通過分布式統(tǒng)一認(rèn)證中心部署，讓認(rèn)證中心可以一對多、多對多的靈活授權(quán)，通過分布式部署實(shí)現(xiàn)了大用戶并發(fā)量的負(fù)載均衡，讓認(rèn)證中心得以系統(tǒng)優(yōu)化、高效運(yùn)轉(zhuǎn)、靈活授權(quán);

③分布式系統(tǒng)應(yīng)用拆分部署：通過業(yè)務(wù)系統(tǒng)的微服務(wù)拆分，讓系統(tǒng)應(yīng)用功能得以高效訪問，通過獨(dú)立調(diào)用數(shù)據(jù)庫實(shí)現(xiàn)Web Service鏈接的高效調(diào)用，微服務(wù)是系統(tǒng)應(yīng)用的發(fā)展趨勢，通過整合系統(tǒng)架構(gòu)，實(shí)現(xiàn)相應(yīng)的架構(gòu)方案落地實(shí)現(xiàn);

④數(shù)據(jù)庫拆分部署的實(shí)現(xiàn)：通過數(shù)據(jù)庫的拆分部署，使得數(shù)據(jù)庫在虛擬化環(huán)境中以Docker的架構(gòu)形式獨(dú)立管控，實(shí)現(xiàn)了更為安全的管控機(jī)制保障，實(shí)現(xiàn)了數(shù)據(jù)安全與數(shù)據(jù)備份機(jī)制的集中化管理，對于服務(wù)精細(xì)化治理有著良好的基礎(chǔ)設(shè)施保障;

⑤主數(shù)據(jù)中臺的實(shí)現(xiàn)：通過形成企業(yè)獨(dú)立的主數(shù)據(jù)中臺，使業(yè)務(wù)標(biāo)準(zhǔn)化流程和業(yè)務(wù)標(biāo)準(zhǔn)化數(shù)據(jù)形成單一數(shù)據(jù)源，通過專業(yè)化系統(tǒng)應(yīng)用的單一數(shù)據(jù)錄入，和各系統(tǒng)對主數(shù)據(jù)的調(diào)用，形成良好的業(yè)務(wù)管控機(jī)制，實(shí)現(xiàn)最終的業(yè)務(wù)信息化全面的管理提升。

5 結(jié)束語

本文基于企業(yè)系統(tǒng)微服務(wù)架構(gòu)應(yīng)用場景，針對核電行業(yè)高安全性要求，在OAuth2.0協(xié)議的基礎(chǔ)上，通過建立統(tǒng)一身份認(rèn)證門戶的角度出發(fā)，使用SOA架構(gòu)排除了信息孤島，打造了提升用戶體驗(yàn)的便利場景，并通過門戶負(fù)載、認(rèn)證負(fù)載、信息系統(tǒng)服務(wù)拆分、數(shù)據(jù)庫拆分、業(yè)務(wù)與數(shù)據(jù)治理等方面建立了基于微服務(wù)架構(gòu)，通過對統(tǒng)一身份認(rèn)證門戶與系統(tǒng)應(yīng)用融合的發(fā)展趨勢分析，形成了一套核電場景的微服務(wù)架構(gòu)下身份認(rèn)證解決方案，既能滿足對于業(yè)務(wù)領(lǐng)域的主數(shù)據(jù)治理和業(yè)務(wù)治理要求，也能滿足信息系統(tǒng)運(yùn)維管理的鏈路追蹤、容錯(cuò)保護(hù)、集群監(jiān)控等內(nèi)容，對于全面的業(yè)務(wù)標(biāo)準(zhǔn)化和信息系統(tǒng)標(biāo)準(zhǔn)化管理提升有著一定的借鑒意義。

參考文獻(xiàn)

[1]朱博昌.基于OAuth2.0協(xié)議的授權(quán)登錄國內(nèi)應(yīng)用現(xiàn)狀研究[J].現(xiàn)代信息科技，2019，3（20）：151-154.

[2]吉書強(qiáng).一種基于OAuth2.0的微服務(wù)電力系統(tǒng)授權(quán)方案[J].數(shù)字技術(shù)與應(yīng)用，2019，37（6）：103-105.

[3]劉大紅，劉明.第三方應(yīng)用與開放平臺OAuth認(rèn)證互連技術(shù)研究[J].電腦知識與技術(shù)，2012，8（22）：5367-5369.

[4]朱永強(qiáng)，方意，宮學(xué)慶.微服務(wù)架構(gòu)下訪問控制模型的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2018，35（12）：21-26+37.