转载

保护你的API(下)

前后端分离之后

前后端分离之后,在部署上通过一个反向代理就可以实现动静态分离,跨域问题的解决等。但是一旦引入鉴权,则又会产生新的问题。通常来说,鉴权是对于后台API/API背后的资源的保护,即 未经授权的用户不能访问受保护资源

要实现这个功能有很多种方式,在应用程序之外设置完善的安全拦截器是最常见的方式。不过有点不够优雅的是,一些不太纯粹的、非功能性的代码和业务代码混在同一个代码库中。

另一方面,各个业务系统都可能需要某种机制的鉴权,所以很多企业都会搭建SSO机制,即 Single Sign-On 。这样可以避免人们在多个系统创建不同账号,设置不同密码,不同的超时时间等等。如果SSO系统已经先于系统存在了很久,那么新开发的系统完全不需要自己再配置一套用户管理机制了(一般SSO只会完成 鉴权鉴别 的部分, 授权 还是需要各个业务系统自行处理)。

本文中,我们使用基础设施(反向代理)的一些配置,来完成 保护未授权资源 的目的。在这个例子中,我们假设系统由这样几个服务器组成:

系统组成

这个实例中,我们的系统分为三部分

  1. kanban.com:8000 (业务系统前端)
  2. api.kanban.com:9000 (业务系统后端API)
  3. sso.kanban.com:8100 (单点登录系统,登陆界面)

前端包含了HTML/JS/CSS等资源,是一个纯静态资源,所以本地磁盘即可。后端API则是一组需要被保护的API(比如查询工资详情,查询工作经历等)。最后,单点登录系统是一个简单的表单,用户填入用户名和密码后,如果登录成功,单点登录会将用户重定向到登录前的位置。

我们举一个具体场景的例子:

  1. 未登录用户访问 http://kanba.com:8000/index.html
  2. 系统会重定向用户到 http://sso.kanban.com:8100/sso?return=http://kanba.com:8000/index.html
  3. 用户看到登录页面,输入用户名、密码登录
  4. 用户被重定向回 http://kanba.com:8000/index.html
  5. 此外, index.htm l页面上的 app.jsapi.kanban.com:9000 的访问也得到了授权

环境设置

简单起见,可以通过修改/etc/hosts文件来设置服务器环境:

127.0.0.1 sso.kanban.com 127.0.0.1 api.kanban.com 127.0.0.1 kanban.com

nginx及auth_request

反向代理nginx有一个auth_request的模块。在一个虚拟host中,每个请求会先发往一个内部 location ,这个内部的 location 可以指向一个可以做鉴权的Endpoint。如果这个请求得到的结果是200,那么nginx会返回用户本来请求的内容,如果返回401,则将用户重定向到一个预定义的地址: 

server {     listen 8000;     server_name kanban.com;      root /usr/local/var/www/kanban/;      error_page 401 = @error401;      location @error401 {         return 302 http://sso.kanban.com:8100/sso?return=$scheme://$http_host$request_uri;     }      auth_request /api/auth;      location = /api/auth {         internal;          proxy_pass http://api.kanban.com:9000;          proxy_pass_request_body     off;          proxy_set_header Content-Length "";         proxy_set_header X-Original-URI $request_uri;         proxy_set_header Host $http_host;         proxy_set_header X-Real-IP $remote_addr;         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;         proxy_set_header X-Forwarded-Proto $scheme;          if ($http_cookie ~* "w3=(/w+)") {             set $token "$1";         }          proxy_set_header X-KANBAN-TOKEN $token;     } }

比如上面这个例子中, auth_request 的URL为 /api/auth ,它是一个内部的location,外部无法访问。在这个 locaiton 中,请求会被转发到 http://api.kanban.com:9000 ,根据nginx的正则语法,请求将会被转发到 http://api.kanban.com:9000/api/auth (我们随后可以看到这个Endpoint的定义)。

我们设置了请求的原始头信息,并禁用了request_body,如果cookie中包含了 w3=(/w+) 字样,则将这个w3的值抽取出来,并赋值给一个 X-KANBAN-TOKEN 的HTTP头。

权限Endpoint

对应的 /api/auth 的定义如下: 

@RestController @RequestMapping("/auth") public class AuthController {      @RequestMapping     public ResponseEntity<String> simpleAuth(@RequestHeader(value="X-KANBAN-TOKEN", defaultValue = "") String token) {         if(StringUtils.isEmpty(token)) {             return new ResponseEntity<>("Unauthorized", HttpStatus.UNAUTHORIZED);         } else {             return new ResponseEntity<>("Authorized", HttpStatus.OK);         }     } }

如果HTTP头上有 X-KANBAN-TOKEN 且值不为空,则返回200,否则返回401。

当这个请求得到401之后,用户被重定向到 http://sso.kanban.com:8100/sso 

error_page 401 = @error401;  location @error401 {     return 302 http://sso.kanban.com:8100/sso?return=$scheme://$http_host$request_uri; }

SSO组件(简化版)

这里用 sinatra 定义了一个简单的SSO服务器(去除了实际的校验部分) 

require 'sinatra' require 'uri'  set :return_url, '' set :bind, '0.0.0.0'  get '/sso' do     settings.return_url = params[:return]     send_file 'public/index.html' end  post '/login' do   credential = params[:credential]   # check credential against database   uri = URI.parse(settings.return_url)   response.set_cookie("w3", {       :domain => ".#{uri.host}",       :expires => Time.now + 2400,       :value => "#{credential['name']}",       :path => '/'       })   redirect settings.return_url, 302 end

/sso 对应的Login Form是: 

<form action="/login" method="post">   <input type="text" name="credential[name]" />   <input type="password" name="credential[password]" />   <input type="submit"> </form>

当用户提交表单之后,我们只是简单的设置了 cookie ,并重定向用户到跳转前的URL。

前端页面

这个应用的前端应用非常简单,我们只需要将这些静态文件放到 /usr/local/var/www/kanban 目录下: 

$ tree /usr/local/var/www/kanban  ├── index.html └── scripts     ├── app.js     └── jquery.min.js

其中 index.html 中引用的 app.js 会请求一个受保护的资源: 

$(function() {   $.get('/api/protected/1').done(function(message) {       $('#message').text(message.content);   }); });

从下图中的网络请求可以看到重定向的流程:

保护你的API(下)

总结

本文我们通过配置反向代理,将多个Endpoint组织起来。这个过程可以在应用程序中通过代码实现,也可以在基础设施中通过配置实现,通常来讲,如果可以通过配置来实现的,就尽量将其与负责业务逻辑的代码隔离出来。这样可以保证各个组件的独立性,也可以使得优化和定位问题更加容易。

完整的代码可以在这里下载:

原文  http://icodeit.org/2016/05/about-session-and-security-api-2/
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:600 人
  • 运行天数:4,409天
  • 最后更新:2024年11月22日03点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG