配置服務(wù)鑒權(quán)
在微服務(wù)架構(gòu)中,如果某個服務(wù)具有特定的安全訪問控制需求,并且不希望任意其他服務(wù)進(jìn)行調(diào)用,可以通過實(shí)施鑒權(quán)機(jī)制來實(shí)現(xiàn)。這樣做可以確保只有經(jīng)過身份驗(yàn)證且符合預(yù)設(shè)權(quán)限標(biāo)準(zhǔn)的服務(wù)才能成功調(diào)用該受保護(hù)的服務(wù),從而保障系統(tǒng)的安全性和可靠性。
背景信息
下面以一個示例介紹Spring Cloud服務(wù)鑒權(quán)的使用場景。Dubbo服務(wù)鑒權(quán)同樣適用。
未配置服務(wù)鑒權(quán)
Consumer 1、2、3和Provider在同一個命名空間內(nèi),Consumer 1、2和3默認(rèn)可以調(diào)用Provider的所有Path(Path 1、2和3)。
配置服務(wù)鑒權(quán)
設(shè)置所有Path的鑒權(quán)
可以對Provider的所有Path設(shè)置鑒權(quán)規(guī)則,例如Provider所有Path的鑒權(quán)規(guī)則設(shè)置為拒絕Consumer 1調(diào)用(黑名單),則允許Consumer 2、3調(diào)用(白名單)。
設(shè)置指定Path的鑒權(quán)
在設(shè)置所有Path的鑒權(quán)基礎(chǔ)上,還可以設(shè)置Consumer指定Path的鑒權(quán)規(guī)則,例如按所有Path的鑒權(quán)方式,Consumer 2、3可以訪問Provider的所有Path,但Provider的Path2涉及一些核心業(yè)務(wù)或數(shù)據(jù),不希望Consumer 2調(diào)用,可以將Path 2對Consumer 2的鑒權(quán)方式設(shè)置為黑名單(拒絕調(diào)用),則Consumer 2只能訪問Provider的Path 1和Path 3。
設(shè)置完鑒權(quán)規(guī)則的調(diào)用關(guān)系如下圖所示。
視頻教程
操作步驟
登錄MSE治理中心控制臺,并在頂部菜單欄選擇地域。
在左側(cè)導(dǎo)航欄,選擇治理中心 > 安全 > 服務(wù)鑒權(quán)。
在服務(wù)鑒權(quán)頁面單擊創(chuàng)建規(guī)則。
在創(chuàng)建規(guī)則頁面設(shè)置服務(wù)鑒權(quán)參數(shù),然后單擊確定。
參數(shù)
說明
規(guī)則名稱
鑒權(quán)規(guī)則名稱,支持大小寫字母、數(shù)字、下劃線(_)和短劃線(-),長度不超過64個字符。
被調(diào)用方類型
根據(jù)實(shí)際情況選擇應(yīng)用或K8s Namespace。
被調(diào)用方(應(yīng)用)
當(dāng)被調(diào)用方類型選擇應(yīng)用時,選擇被調(diào)用的應(yīng)用。
被調(diào)用方(K8s Namespace)
當(dāng)被調(diào)用方類型選擇K8s Namespace時,選擇被調(diào)用的應(yīng)用集群和所在的命名空間。
被調(diào)用方框架
被調(diào)用的應(yīng)用所使用的框架,根據(jù)需要選擇Spring Cloud或者Dubbo。
添加所有接口規(guī)則
重要所有接口的通用規(guī)則僅支持添加一次。
被調(diào)用方Path
默認(rèn)為所有Path,不可設(shè)置。
說明此參數(shù)僅適用于Spring Cloud。
被調(diào)用方接口
默認(rèn)為所有服務(wù)/所有接口,不可設(shè)置。
說明此參數(shù)僅適用于Dubbo。
鑒權(quán)方式
服務(wù)鑒權(quán)的方式,包含白名單(允許調(diào)用)和黑名單(拒絕調(diào)用),請根據(jù)實(shí)際鑒權(quán)需求選擇。
調(diào)用方
需要鑒權(quán)的調(diào)用方應(yīng)用,可以單擊添加調(diào)用方設(shè)置多個需要鑒權(quán)的調(diào)用方應(yīng)用。
添加指定接口規(guī)則
重要指定接口添加的規(guī)則不是追加,而是覆蓋針對所有接口的通用規(guī)則,請謹(jǐn)慎配置。
被調(diào)用方Path
指定被調(diào)用應(yīng)用的Path。
說明此參數(shù)僅適用于Spring Cloud。
被調(diào)用方接口
指定被調(diào)用應(yīng)用的服務(wù)和接口。
說明此參數(shù)僅適用于Dubbo。
鑒權(quán)方式
服務(wù)鑒權(quán)的方式,包含白名單(允許調(diào)用)和黑名單(拒絕調(diào)用),請根據(jù)實(shí)際鑒權(quán)需求選擇。
調(diào)用方
需要鑒權(quán)的調(diào)用方應(yīng)用,可以單擊添加調(diào)用方設(shè)置多個需要鑒權(quán)的調(diào)用方應(yīng)用。
默認(rèn)狀態(tài)
規(guī)則的啟用開關(guān)。
打開:創(chuàng)建后即啟用,默認(rèn)打開。
關(guān)閉:創(chuàng)建后不啟用,如果需要啟用,請在服務(wù)鑒權(quán)頁面規(guī)則的操作列單擊開啟。
結(jié)果驗(yàn)證
服務(wù)鑒權(quán)規(guī)則配置完成且開啟后,請根據(jù)實(shí)際業(yè)務(wù)驗(yàn)證服務(wù)鑒權(quán)規(guī)則是否生效。
相關(guān)操作
服務(wù)鑒權(quán)規(guī)則創(chuàng)建完成后,您還可以編輯規(guī)則、根據(jù)規(guī)則的不同狀態(tài)關(guān)閉規(guī)則或開啟規(guī)則。當(dāng)不再需要服務(wù)鑒權(quán)時,刪除規(guī)則。