今天我和你分享的是如何保证微服务实例资源安全的案例。在前文我们实践了如何使用Go搭建一个基本的授权服务器它的主要功能是颁发访问令牌和验证访问令牌的有效性。在统一认证与授权服务体系中还存在资源服务器对用户数据进行保护它允许携带有效访问令牌的客户端请求用户资源。在本文我们将基于Go实现一个基本的资源服务器让其为用户数据保驾护航。整体结构资源服务器会在请求进入具体的资源端点之前对请求中携带的访问令牌进行校验比较常用的做法是采用拦截器的方式实现如下图所示:请求在进入具体的资源端点之前会至少经过令牌认证拦截器和权限检查拦截器这两个拦截器以及其他发挥重要功能的拦截器比如限流拦截器等。令牌认证拦截器会解析请求中携带的访问令牌请求授权服务器验证访问令牌的有效性明确当前请求的客户端和用户信息并把这些信息写入请求上下文中如果访问令牌无效将会拒绝请求返回认证错误。权限检查拦截器会按照预设的权限规则对请求上下文中的客户端和用户信息进行权限检查如果权限不足也会拒绝访问返回鉴权错误。对此我们可以将资源服务器设计为以下几个模块如图所示:OAuth2AuthorizationContext认证上下文处理器负责从请求解析出访问令牌委托ResourceServerTokenService 验证访问令牌的有效性获取令牌对应的客户端和用户信息。OAuth2AuthorizationMiddleware认证中间件检查请求上下文是否存在客户端和用户信息。AuthorityAuthorizationMiddleware权限检查中间件从请求上下文中获取客户端和用户信息并根据预设的权限规则对请求的客户端和用户信息进行鉴权。ResourceServerTokenService资源服务器令牌服务帮助资源服务器检验访问令牌的有效性以及获取访问令牌绑定的客户端和用户信息。接下来我们就来详细讲解一下如何实现资源服务器。认证上下文处理器客户端在请求资源服务器中被保护的端点时默认会把访问令牌放到Authorization 请求头然后资源服务器会在请求进入Endpoint之前从Authorization请求头中获取访问令牌用于验证用户身份。OAuth2AuthorizationContext认证上下文处理器用于从Authorization请求头解析出访问令牌并使用 ResourceServerTokenService 根据访问令牌获取用户信息和客户端信息。构建OAuth2AuthorizationContext 的代码如下所示func makeOAuth2AuthorizationContexttokenService service. ResourceServerTokenService, logger log.Logger) kithttp.RequestFunc { return func(ctx context.Context, r *http.Request) context.Context { //获取访问令牌 accessTokenValue : r.Header.Get(Authorization) var err error if accessTokenvalue ! { // 获取令牌对应的用户信息和客户端信息 oauth2Details, err : tokenService.GetOAuth2DetailsByAccessToken(accessTokenValue) if err ! nil{ return context.withvalue(ctx, endpoint.OAuth2ErrorKey, err) } return context.withValue(ctx, endpoint.OAuth2DetailsKey, oauth2Details) }else { err ErrorTokenRequest } return context.withvalue(ctx, endpoint.OAuth2ErrorKey, err) } }在上述代码中如果 Authorization 请求头不存在访问令牌或者访问令牌无效将在context中设置令牌无效的错误信息。接着OAuth2AuthorizationContext会使用 ResourceSerVerTokenService 根据访问令牌解析出令牌对应的用户信息和客户端信息如果解析成功说明当前请求的客户端已经得到了用户的授权。最后再把用户信息和客户端信息放入context 中便于接下来的认证与鉴权使用。认证中间件在请求正式进入Endpoint 之前我们需要验证请求上下文context中是否存在OAuth2Details是否存在客户端和用户信息。对此我们对每个需要进行认证的端点添加认证中间件OAuth2AuthorizationMiddleware代码如下所示func MakeclientAuthorizationmiddleware(logger log .Logger) endpoint.Middleware { return func(next endpoint.Endpoint) endpoint.Endpoint { span classh1js-keywordreturn/span span classh1js-functionspanclassh1js-keywordfunc/spanspan classhljs-params(ctx context.Context,request span classh1js-keywordinterface/span{})/span span classhljs-params(response span classhljs-keywordinterface/span{} err error)/span/span{ spanclassh1js-comment// 检查是否出现认证错误/span span classh1js-keywordif/span err, ok : ctx.Value(oAuth2ErrorKey) . (error); ok{ span classh1js-keywordreturn/span span classh1js- literalnil/span err } spanclassh1js-comment// 检查请求上下文中是否存在客户端和用户信息/span span classhljs-keywordif/span _, ok : ctx.Value(OAuth2clientDetailsKey) - (*model.ClientDetails); !ok{ span classh1js-keywordreturn/span span classh1js- literalnil/spanErrInvalidclientRequest } span classhljs-keywordreturn/span next(ctx request) } } }在上述代码中在请求进入业务处理的 Endpoint 之前OAuth2AuthorizationMiddleWare 认证中间件会检查context 中的OAuth2Details 是否存在如果不存在说明请求没有经过认证请求将会被拒绝访问。如果存在说明请求已经携带了有效的访问令牌将被允许通过该中间件。权限检查中间件访问资源服务器受保护资源的端点时不仅需要请求中携带有效的访问令牌还需要访问令牌绑定的客户端和用户具备足够的权限。在OAuth2AuthorizationContext认证上下文处理器中我们获取到了用户信息和客户端信息可以根据它们具备的权限列表和预设的权限规则判断本次请求是否具备访问端点的权限。对此我们需要添加AuthorityAuthorizationMiddleWare权限检查中间件它会根据预设的权限规则对访问令牌绑定的用户权限进行检查只有具备足够权限的用户请求才能够进入Endpoint 中执行业务逻辑。构建AuthorityAuthorizationMiddIleWare的代码如下所示func MakeAuthorityAuthorizationMiddleware(authority string logger log.Logger) endpoint.middleware { return func(next endpoint.Endpoint) endpoint.Endpoint { span classh1js-keywordreturn/span span classh1js-functionspanclassh1js-keywordfunc/spanspan classh1js-params(ctx context.Context,request span classh1js-keywordinterface/span{})/span span classh1js-params(response span classhljs-keywordinterface/span{}, err error)/span/span{ spanclassh1js-comment// 检查是否出现认证错误/span span classhljs-keywordif/span err, ok : ctx.Value(oAuth2ErrorKey) . error); ok{ span classh1js-keywordreturn/span span classh1js- literalnil/span, err } spanclassh1js-comment//检查是否具备预设权限/span span classhljs-keywordif/span details, ok : ctx.Value(oAuth2DetailsKey).(*model.OAuth2Details); ok{ span classh1js-keywordreturn/span span classh1js- literalnil/span ErrInvalidclientRequest }span classh1js-keywordelse/span { span classhljs-keywordfor/span _, value : span classhljs- keywordrange/span details.User.Authorities{ span classhljs-keywordif/span value authority{ span classhljs-keywordreturn/span next(ctx request) } } span classh1js-keywordreturn/span span classh1js- literalnil/span ErrNotPermit } } } }在上述代码中我们先从context 中获取到访问令牌中解析出的用户信息和客户端信息然后对用户的权限进行检查只有具备预设权限的用户才能继续访问接口否则返回权限不足的错误。此处实现的权限检查中间件判断逻辑比较单一用户只需具备对应的权限即可通过判定但在实际生产环境中我们可以组合更加复杂的权限判断逻辑以满足业务需求。资源服务器令牌服务ResourceServerTokenService资源服务器令牌服务的作用是资源服务器验证访问令牌的有效性和解析出令牌绑定的客户端和用户信息它提供以下接口:type ResourceServerTokenService interface { // 根据访问令牌获取对应的用户信息和客户端信息 GetOAuth2DetailsByAccessToken(tokenValue string) (*oAuth2Details error) }一般来说资源服务器都是通过远程调用的方式访问授权服务器的 oauth/check_token 端点来验证访问令牌的有效性。但是由于访问令牌的类型为WT令牌中的信息是自包含的所以我们在资源服务器中就可以直接验证访问令牌并从令牌中解析出用户信息和客户端信息如下代码所示func (tokenService *DefaultTokenService) GetOAuth2DetailsByAccessTokentokenValue string *oAuth2Details error) { / /借助JwtTokenStore从令牌中解析出信息 accessToken, err : tokenService.tokenStore.ReadAccessToken(tokenValue) span classh1js-keywordif/span err ! span classhljs-literalnil/span { span classh1js-keywordreturn/span span classh1js- literalnil/span err } span classhljs-keywordif/span accessToken.IsExpired{ span classh1js-keywordreturn/span span classh1js- literalnil/span ErrExpiredToken } span classh1js-keywordreturn/span tokenService.tokenStore .ReadoAuth2Details(tokenValue) }在上述代码中我们就是直接通过JwtTokenStore从jWT样式的令牌中解析出令牌绑定的客户端和用户信息。接下来我们通过构造一些资源端点来验证资源服务器保护受限资源的能力。访问受限资源端点受保护资源是资源服务器中被保护的用户数据。请求必须持有访问令牌且访问令牌绑定的用户具备足够的权限才允许访问资源端点也就是说在请求到达受保护资源的端点前需要被认证中间件和权限检查中间件对请求中携带的访问令牌进行校验。我们分别构造以下3个端点/index任意请求可访问;/sample携带有效访问令牌的请求可访问/admin携带有效访问令牌且访问令牌绑定的用户具备Admin 权限的请求可访问。在transport层为了保证认证中间件和权限检查中间件能够获取访问令牌绑定的用户和客户端信息在请求处理前我们添加了OAuth2AuthorizationContext认证上下文处理器从请求头中解析并验证token代码如下所示// 添加认证上下文处理器 oauth2Authorizationoptions : []kithttp.ServerOption{ kithttp.ServerBefore(makeOAuth2AuthorizationContexttokenService logger)), kithttp.ServerErrorHandler(transport.NewLogErrorHandler(logger)), kithttp. ServerErrorEncoderencodeError), } // index端点 r.Methods(Get) . Path(/index) .Handler(kithttp. NewServer( endpoints.IndexEndpoint, decodesimpleRequest, encodeJsonResponse, oauth2AuthorizationOptions... )) ...其他端点接着在main 函数中为需要进行认证和权限检查的 SampleEnpoint 和 AdminEndpoint 添加认证中间件和权限检查中间件代码如下所示:sampleEndpoint : endpoint.MakeSampleEndpoint(srv) // 添加认证中间件 sampleEndpoint endpoint .MakeOAuth2AuthorizationMiddleware(config.KitLogger) (sampleEndpoint) adminEndpoint : endpoint.MakeAdminEndpoint(srv) // 添加认证中间件和权限检查中间件 adminEndpoint endpoint.MakeOAuth2AuthorizationMiddleware(config.KitLogger) (adminEndpoint) adminEndpoint endpoint.MakeAuthorityAuthorizationMiddleware(Admin, config . KitLogger)(adminEndpoint)在上述代码中我们可以发现 SampleEndpoint被 OAuth2AuthorizationMiddleWare认证中间件)装饰而AdminEndpoint被 OAuth2AuthorizationMiddleWare认证中间件和AuthorityAuthorizationMiddleWare权限检查中间件同时装饰。接下来我们在授权服务器内内置两名用户信息①用户名 aoho1、密码123456权限为 sample②用户名 aoho2、密码 123456权限为 admin。启动资源服务器直接访问/index端点可以直接获取到请求结果如下所示:{ result: hello, wecome to index, error: }然后我们直接访问/sample 端点将会获取到以下拒绝访问的错误:{ error: invalid request token }对此我们需要使用 aoho1用户的用户名和密码请求授权服务器获取对应的访问令牌。携带访问令牌再次请求/sample 端点请求的 curl命令如下:curl -X GET http://1oca1host:10099/simple \ -H Authorization: ...\ -H Host: 1ocalhost:10099 \我们在Authorization 请求头中携带了访问令牌即可获取到期望的请求数据如下所示{ result: hello aohol, welcome to sample, error: }当我们以同样的访问令牌即 aoho1用户授权的访问令牌请求/admin 端点时将会返回权限不足的错误如下所示:{ error: not permit }对此我们需要使用 aoho2 用户授权访问令牌请求/admin端点。从授权服务器获取到aoho2用户授权的访问令牌后携带其访问令牌再次访问/admin 端点即可获取到如下预期的结果:{ result: hello aoho2, welcome to admin, error: }通过组合认证中间件和权限检查中间件我们可以检查请求中是否携带合法的访问令牌以及访问令牌绑定的用户是否具备足够的访问权限这样就有效地在接口层级保护数据资源了。小结在统一认证与授权服务体系中资源服务器的主要职责为保护用户保存在系统中的数据允许携带有效访问令牌的客户端请求资源拒绝无授权的请求访问。在本文我们基于Go实现了一个基本的资源服务器。它首先通过认证上下文处理器从请求中解析出访问令牌并借助资源服务器令牌服务验证访问令牌的有效性接着再使用认证中间件和权限检查中间件对令牌绑定的客户端和用户信息进行认证和权限检查允许携带有效访问令牌和满足预设权限的客户端请求获取到数据。希望通过本模块这4个课时的学习能帮助你充分了解如何构建微服务中统一认证与授权体系。