2023-02-27  阅读(1)
原文作者:Java日知录 原文地址:https://javadaily.cn

在SpringCloud架构中,实现授权功能有两种实现方式:

  • 在网关层进行授权
  • 由后端微服务自己授权

两种方式在此系列文章中都有实现方案,那么问题来了:哪种才是最优方案,哪种方案更合理呢?

很抱歉,看完这篇文章你也不一定能得到你想要的答案,因为结论是并没有最优方案,两种方案各有千秋,只有根据自身业务选择对应的方案。本文我们将两种方案做一个简单对比,以便大伙在做方案决策有个选择参考。

解决方案对比

首先我们看看两种方案实现的原理:如果对具体实现方式有疑问的同学可以参考这篇文章:
SpringCloud Alibaba微服务实战十九 - 集成RBAC授权

网关授权

基于网关授权我们又叫基于路径匹配器授权,请求在经过网关的时候校验当前请求的路径是否在用户拥有的资源路径中。

在基于路径匹配器授权时需要考虑restful风格的访问路径,如 /account-service/blog/user/{id}/account-service/blog/**等,所以在网关进行授权主要是基于 通配符匹配

微服务授权

微服务授权我们又叫基于方法拦截,在资源上打上对应的方法标识然后分配给用户。在请求方法上通过对应的注解判断当前用户是否有访问此方法的权限。如SpringSecurity中的 @PreAuthorize("hasAuthority('')")注解,Shiro中的 @RequiresPermissions('')注解。不管是SpringSecurity还是Shiro他们实现原理都是基于 关键字完全匹配

优缺点对比

网关授权

优点

使用网关授权的优点很明显,后端所有微服务只需要是普通的服务即可,不再需要依赖权限那一套。

缺点

  1. 通配符匹配在网关做性能比较差,通配符要拆分,先匹配前缀,前缀匹配了再匹配通配符。这里大家可以看看org.springframework.util.AntPathMatcher#doMatch()的实现逻辑。

  2. 对于Restful风格的URL路径,不能精细化控制权限
    例如一个微服务有如下API
    GET /v1/pb/user POST /v1/pb/user PUT /v1/pb/user这样在网关通过request.getURI().getPath()方法获取到用户请求路径的时候都是同一个地址,给一个用户授予/v1/pb/user权限后他就拥有了GETPUTPOST三种不同权限,很显然这样不能满足精细权限控制。

    至于如何解决这个问题,原来专门写过一篇文章讨论,感兴趣的同学可以看看:SpringCloud Alibaba微服务实战二十五 - Restful接口拦截

微服务授权

优点:

上面提到网关授权的缺点实际上是微服务授权的优点,基于方法拦截是完全匹配,cpu消耗很少,而且也不存在RestFul的问题。

缺点:

实现较为复杂,在 SpringSecurity Oauth2体系中需要全部引入资源服务器相关配置,所以一般会建立一个单独的资源服务器模块,这也是系列文章下篇内容需要解决的问题。

结论

这里我们尝试对两种实现方案做一个总结,如果系统功能、业务模块不是很多可以采用网关授权模式,这样实现最简单也最方便,虽然存在Restful风格不能精细化权限控制问题,但是我们加一个Method字段就可以解决。

如果你的系统规模比较大,有很多资源需要授权那就建议采用微服务授权模式,那为了避免每个微服务都需要处理权限校验的逻辑,我们还需要抽取一个公共的权限认证模块供后端服务引用。


Java 面试宝典是大明哥全力打造的 Java 精品面试题,它是一份靠谱、强大、详细、经典的 Java 后端面试宝典。它不仅仅只是一道道面试题,而是一套完整的 Java 知识体系,一套你 Java 知识点的扫盲贴。

它的内容包括:

  • 大厂真题:Java 面试宝典里面的题目都是最近几年的高频的大厂面试真题。
  • 原创内容:Java 面试宝典内容全部都是大明哥原创,内容全面且通俗易懂,回答部分可以直接作为面试回答内容。
  • 持续更新:一次购买,永久有效。大明哥会持续更新 3+ 年,累计更新 1000+,宝典会不断迭代更新,保证最新、最全面。
  • 覆盖全面:本宝典累计更新 1000+,从 Java 入门到 Java 架构的高频面试题,实现 360° 全覆盖。
  • 不止面试:内容包含面试题解析、内容详解、知识扩展,它不仅仅只是一份面试题,更是一套完整的 Java 知识体系。
  • 宝典详情:https://www.yuque.com/chenssy/sike-java/xvlo920axlp7sf4k
  • 宝典总览:https://www.yuque.com/chenssy/sike-java/yogsehzntzgp4ly1
  • 宝典进展:https://www.yuque.com/chenssy/sike-java/en9ned7loo47z5aw

目前 Java 面试宝典累计更新 400+ 道,总字数 42w+。大明哥还在持续更新中,下图是大明哥在 2024-12 月份的更新情况:

想了解详情的小伙伴,扫描下面二维码加大明哥微信【daming091】咨询

同时,大明哥也整理一套目前市面最常见的热点面试题。微信搜[大明哥聊 Java]或扫描下方二维码关注大明哥的原创公众号[大明哥聊 Java] ,回复【面试题】 即可免费领取。

阅读全文