軟件安全本身就是個(gè)很復(fù)雜的問題，由于微服務(wù)系統(tǒng)中的每個(gè)服務(wù)都要處理安全問題，所以在微服務(wù)場(chǎng)景下會(huì)更復(fù)雜。David Borsos在最近的倫敦微服務(wù)大會(huì)上作了相關(guān)內(nèi)容的演講，并評(píng)估了四種面向微服務(wù)系統(tǒng)的身份驗(yàn)證方案。

在傳統(tǒng)的單體架構(gòu)中，單個(gè)服務(wù)保存所有的用戶數(shù)據(jù)，可以校驗(yàn)用戶，并在認(rèn)證成功后創(chuàng)建HTTP會(huì)話。在微服務(wù)架構(gòu)中，用戶是在和服務(wù)集合交互，每個(gè)服務(wù)都有可能需要知道請(qǐng)求的用戶是誰。一種樸素的解決方案是在微服務(wù)系統(tǒng)中應(yīng)用與單體系統(tǒng)中相同的模式，但是問題就在于如何讓所有的服務(wù)訪問用戶的數(shù)據(jù)。解決這個(gè)問題大致兩個(gè)思路：若使用共享用戶數(shù)據(jù)庫時(shí)，更新數(shù)據(jù)庫表會(huì)成為一個(gè)難題，因?yàn)樗蟹?wù)必須同時(shí)升級(jí)以便能夠?qū)有薷暮蟮谋斫Y(jié)構(gòu)；若將相同的數(shù)據(jù)分發(fā)給所有服務(wù)時(shí)，當(dāng)某個(gè)用戶已經(jīng)被認(rèn)證，如何讓每個(gè)服務(wù)知曉這個(gè)狀態(tài)是一個(gè)問題。

Borsos指出，單點(diǎn)登錄（SSO）方案可能看起來是一個(gè)好主意，但這意味著每個(gè)面向用戶的服務(wù)都必須與認(rèn)證服務(wù)交互，這會(huì)產(chǎn)生大量非常瑣碎的網(wǎng)絡(luò)流量，同時(shí)這個(gè)方案實(shí)現(xiàn)起來也相當(dāng)復(fù)雜 。 在其他方面，選擇SSO方案安全性會(huì)很好，用戶登錄狀態(tài)是不透明的，可防止攻擊者從狀態(tài)中推斷任何有用的信息。

分布式會(huì)話方案，原理主要是將關(guān)于用戶認(rèn)證的信息存儲(chǔ)在共享存儲(chǔ)中，且通常由用戶會(huì)話作為key來實(shí)現(xiàn)的簡(jiǎn)單分布式哈希映射。 當(dāng)用戶訪問微服務(wù)時(shí)，用戶數(shù)據(jù)可以從共享存儲(chǔ)中獲取。 該解決方案的另一個(gè)優(yōu)點(diǎn)是用戶登錄狀態(tài)是不透明的。 當(dāng)使用分布式數(shù)據(jù)庫時(shí)，它也是一個(gè)高度可用且可擴(kuò)展的解決方案。 這種方案的缺點(diǎn)在于共享存儲(chǔ)需要一定保護(hù)機(jī)制，因此需要通過安全鏈接來訪問，這時(shí)解決方案的實(shí)現(xiàn)就通常具有相當(dāng)高的復(fù)雜性了。

客戶端令牌方案， 此令牌在客戶端生成，由身份驗(yàn)證服務(wù)進(jìn)行簽名，并且必須包含足夠的信息，以便可以在所有微服務(wù)中建立用戶身份。 令牌會(huì)附加到每個(gè)請(qǐng)求上，為微服務(wù)提供用戶身份驗(yàn)證。 這種解決方案的安全性相對(duì)較好，但身份驗(yàn)證注銷是一個(gè)大問題， 緩解這種情況的方法可以使用短期令牌和頻繁檢查認(rèn)證服務(wù)等。 對(duì)于客戶端令牌的編碼方案，Borsos更喜歡使用JSON Web Tokens（JWT），它足夠簡(jiǎn)單且?guī)熘С殖潭纫脖容^好。

客戶端令牌與API網(wǎng)關(guān)結(jié)合，這個(gè)方案意味著所有請(qǐng)求都通過網(wǎng)關(guān)，從而有效地隱藏了微服務(wù)。 在請(qǐng)求時(shí)，網(wǎng)關(guān)將原始用戶令牌轉(zhuǎn)換為內(nèi)部會(huì)話ID令牌。 在這種情況下，注銷就不是問題，因?yàn)榫W(wǎng)關(guān)可以在注銷時(shí)撤銷用戶的令牌。 這種方案雖然庫支持程度比較好，但實(shí)現(xiàn)起來還是可能很復(fù)雜。

Borsos建議使用客戶端令牌（使用JWT）和API網(wǎng)關(guān)結(jié)合的方案，因?yàn)檫@個(gè)方案通常使用起來比較容易，且性能也不錯(cuò)。 SSO方案雖然能滿足需求，但他認(rèn)為還是應(yīng)該避免使用。若分布式會(huì)話方案所需要的相關(guān)技術(shù)已經(jīng)應(yīng)用在你的場(chǎng)景上，那么這個(gè)方案也是比較有趣的。他同時(shí)強(qiáng)調(diào)在選擇解決方案時(shí)應(yīng)著重考慮注銷的重要性。

明年的倫敦微服務(wù)大會(huì)定于2017年11月6日-7日舉行。

查看英文原文：Authentication Strategies in Microservices Systems