MaxRokatansky Aug 8 2022 at 17:36

Сервер авторизации для микросервисов на Spring Boot

21 min

28K

OTUS corporate blogProgramming*Java*

Translation

Comments 12

xeeaax Aug 8 2022 at 18:07

На мой взгляд должны быть веские причины, чтобы писать сервер авторизации с нуля вместо использования чего-нибудь вроде spring-security-oauth2-authorization-server

beezy92 Aug 9 2022 at 08:58

да и WebSecurityConfigurerAdapter deprecated.

ultrinfaern Aug 8 2022 at 18:08

Я так понимаю у вас здесь токен заменяе сессию, поэтому тут jwt токен явно и не нужен.

Всем нравятся JWT, но мало кто умеет их готовить. :) В правильной реализации сервер авторизации только ВЫДАЕТ токены, не НЕ ПРОВЕРЯЕТ их. А проверяют их уже конечные серверы ресуросов без участия сервера авторизации. В этои и есть суть - что это РАСПРЕДЕЛЕННАЯ система.

Sad_Bro Aug 8 2022 at 19:47

Вполне правильная практика проверять таким образом, позволяет в любой момент прибить jwt токен, не ждать когда он протухнет. Просто многие ленятся так делать.

Hett Aug 10 2022 at 00:24

Нет, дело не в лени. У jwt токена должно быть не большое время жизни.

xeeaax Aug 8 2022 at 22:47

Да тут еще и API Gateway своей разработки + передача полномочий в микросервисы в заголовках. То есть любой кто сможет отправить запрос мимо API Gateway получит возможность действовать в сервисах от имени любого пользователя с любыми полномочиями.

Ну такое себе...

ris58h Aug 9 2022 at 13:55

С одной стороны да, а с другой это зависит от того, насколько защищенную систему вы хотите построить. Можно и TLS на все межсервисные вызовы навесить, например.

xeeaax Aug 9 2022 at 14:12

Если не особо нужна защищенность, то зачем было городить проверку каждого запроса через сервис авторизации? Достаточно было классики OAuth2 - выдать JWT токет подписанный и раздать с сервиса авторизации по всем клиентам ключи. Это бы еще и отказоустойчивости добавило и latency снизило.

ris58h Aug 9 2022 at 18:51

К архитектуре описанной в статье у меня те же вопросы. Я лишь писал о том, что архитектура, в которой можно вызвать сервис без аутентификации внутри системы, допустима, если нет особых требований к безопасности внутри самой системы.

Jasulan98 Aug 9 2022 at 09:11

Если у нас 100+ микросервис, насколько масштабируемо сервис permission учитывая что не все может быть на spring тем более на java? Какой best practice для permission? У каждого сервера своя бд с таблицей для проверки permission, либо как в примере request засетить изначально в api gateway?

ggo Aug 9 2022 at 10:14

Сильно зависит от вашего контекста.

Академически считается правильным, что сервис самостоятельно проверяет все гранты по запросу. А у API Gateway две ответственности: отделить авторизованную зону от неавторизованной, и иногда обогатить запрос приватной информацией, которую не хочется светить в jwt-токене. Конечно, это не аксиома, и при понимании что делаешь, можно от нее отклоняться.

hyragano Aug 9 2022 at 22:05

По-моему очень спорное решение. С одной стороны да, у нас в таком кейсе имеется возможность управлять жизненным циклом токена (точнее прерывать его заблаговременно), можем достаточно гибко реагировать на изменения прав пользователей, чуть меньше заморачиваться насчет авторизации.

C другой мы имеем 2 точки отказа + оверхед на походы в auth сревис (можно обмазать кэшeм, но тогда нужно решать 2-ую самую сложную проблему программирования), gateway имеет несколько отвественностей.

ИМХО: такой подход несомненно имеет место быть, только у меня пока к нему всё же больше вопросов.