本文介紹雲原生網關不同認證鑒權機制的差異。
在微服務的架構中,會有多個服務接收來自外部使用者(用戶端)的請求,通常不會直接將服務暴露給外部使用者,而是在中間加一層網關作為外部使用者訪問內部服務的控制點。對於外部使用者訪問的請求,我們通常希望在網關中進行身分識別驗證,知道使用者是誰,並能定義存取控制策略。
網關認證鑒權類型
雲原生網關目前支援JWT、OIDC、IDaaS以及自建認證鑒權等方式:
JWT(JSON Web Tokens)
JWT(JSON Web Tokens)是一套基於使用者體系對使用者的API(服務)進行授權訪問的機制,滿足使用者個人化安全設定的需求。雲原生網關對外開放的API需要識別要求者的身份,並據此判斷所請求的資源是否可以返回給要求者。Token就是一種用於身分識別驗證的機制,基於這種機制,應用不需要在服務端保留使用者的認證資訊或者會話資訊,可實現無狀態、分布式的Web應用授權,為應用的擴充提供了便利。
關於雲原生網關JWT認證鑒權的具體操作,請參見配置JWT認證鑒權。
OIDC(OpenID Connect)
OIDC(OpenID Connect)是一種安全認證機制,第三方應用串連到身份認證供應商(Identify Provider)擷取使用者資訊,並把這些資訊以安全可靠的方式返回給第三方應用。OIDC對OAuth2.0協議進行了擴充,通過擴充的ID Token欄位,提供使用者基礎身份資訊,ID Token使用JWT(JSON Web Token)格式進行封裝,提供自包含性、防篡改機制,可以安全地傳遞給第三方應用程式並容易被驗證。
關於雲原生網關OIDC認證鑒權的具體操作,請參見配置OIDC認證鑒權。
IDaaS(Alibaba Cloud Identity as a Service)
阿里雲應用身份服務IDaaS是阿里雲為您提供的一套集中式身份、許可權、應用管理服務。雲原生網關與IDaaS實現了無縫對接,提供了一套完整的身份認證解決方案。
關於雲原生網關IDaaS認證鑒權的具體操作,請參見配置IDaaS認證鑒權。
自建認證鑒權
如果用戶端請求攜帶的憑證資訊(即Token)的形式是業務方自訂的格式,則服務端收到請求後,必須額外訪問中心化的鑒權服務來完成鑒權操作。雲原生網關支援自訂鑒權,方便在網關入口處完成鑒權,避免每個後端服務都接入鑒權服務。
關於雲原生網關自建認證鑒權的具體操作,請參見配置自建認證鑒權。