Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Тимур Нугаев "Разграничение доступа в приложении с микросервисной архитектурой" 

DotNetRu
October 05, 2019
Programming
0
25

Тимур Нугаев "Разграничение доступа в приложении с микросервисной архитектурой" 

Практический каждый разработчик в ходе своей карьеры сталкивался с необходимостью написания собственной или интегрировании со сторонней системой авторизации.
В настоящее время существуют стандарты авторизации и готовые фреймворки, их реализующие – касалось бы бери да используй!
Но при попытке это сделать выясняется то, что примеры использования приведены либо с точки зрения примитивных сценариев работы, либо с точки зрения наиболее массового использования и их категорически не хватает для энтерпрайз приложения.
В данном докладе будет изложен наш опыт разработки системы разграничения доступа в микросервисном окружении, а именно:
- Базовые понятия разграничения доступа
- Применение протоколов OAuth 2.0 и OpenIdConnect
- Различные сценарии авторизации и вытекающие из них тонкости реализации
- Практики использования Thinktecture IdentityServer 4 для сведения всего вышеперечисленного воедино.

DotNetRu

October 05, 2019
Tweet

More Decks by DotNetRu

See All by DotNetRu
Кирилл Лихтарович «Версионирование и кодогенерация в REST API»
dotnetru
0
190
Дмитрий Бабушкин «Мержилка .sln: быстро и надёжно, без UI и юнит-тестов»
dotnetru
0
120
Артём Микулич «Как интегрироваться с (не-)надёжным third-party API при помощи Polly»
dotnetru
0
120
Иван Патудин «gRPC и его реализация в .NET Core»
dotnetru
0
440
Дмитрий Павлов «Greenplum: Быстро, параллельно, консистентно»
dotnetru
0
230
Филипп Бочаров «Распределенная трассировка Jaeger в .NET»
dotnetru
0
260
Андрей Сергеев "Вопросы nullabilily в платформе .NET, применение функционального подхода в разработке с использованием типов Unit, Tagged Union, Optional, Result, разделение исключительных ситуаций и ожидаемых результатов при обработке ошибок."
dotnetru
0
130
Павел Московой "Работа с HTTP в платформе .NET, собственный движок для работы с HTTP, использующий функциональный подход на основе типа Result для обработки HTTP-ответа вместо исключений."
dotnetru
0
100
Сергей Огородников "Практика построения сервисов на основе ViennaNET"
dotnetru
0
110

Other Decks in Programming

See All in Programming
Rails と人魚の話/rails-and-mermaid
sanfrecce_osaka
0
100
コーンフレークから始める モデリング会話入門
ogurotakayuki
0
350
PHP8.3の機能を振り返る / Review of PHP 8.3 features
seike460
PRO
1
110
単体テストを書かない技術 #phpcon_odawara
o0h
PRO
26
8.2k
ADRを一年運用してみた/adr_after_a_year
hanhan1978
7
2.3k
Git Rebase
bkuhlmann
11
1.6k
Fragment Composition of GraphQL
quramy
3
330
Goのmultiple errorsについて (2024年4月版)
syumai
3
550
Tailwind CSSを本気でカスタマイズする方法
fsubal
13
5.1k
スクラムガイドのスプリントレトロスペクティブを改めて読みかえしてみた / Re-reading the Sprint Retrospective Section in the Scrum Guide
mackey0225
3
410
大規模Reactアプリのリアーキテクチャ~8万行のTanStack Query移行の軌跡~
kj455
4
940
코틀린으로 멀티플랫폼 만들기
pangmoo
0
150

Featured

See All Featured
A Tale of Four Properties
chriscoyier
151
22k
Embracing the Ebb and Flow
colly
80
4.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
345
19k
Adopting Sorbet at Scale
ufuk
68
8.6k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Writing Fast Ruby
sferik
621
60k
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
Infographics Made Easy
chrislema
238
18k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
78
42k
Raft: Consensus for Rubyists
vanstee
132
6.3k

Transcript

  1. Разграничение доступа в приложении с микросервисой архитектурой Тимур Нугаев

  2. Services Web server Application A Services Web server Application B

    Services Web server Application N Authorization Server OAuth2.0 OpenID Connect Thinktekture IdentityServer 4.0 2

  3. Аутентификация Идентификация 3

  4. Идентификация Проверка подлинности Аутентификация 4

  5. Идентификация Проверка подлинности Аутентификация 5

  6. Идентификация Проверка подлинности Аутентификация 6

  7. Идентификация Проверка подлинности Аутентификация 7

  8. Авторизация Контекст Субъект Окружение Ресурс Действие Запретить Разрешить Политика 8

  9. Проверка на authorization service Авторизация в контексте приложения Фильтрация результатов

    запросов Сервис Roles based Claims based ABAC (XACML, NGAC) Декларативная Client - Api Resource 9

  10. Client Resource Server Authorization Server Resource Owner api/photos /authorize /token

    /userinfo /introspect /revoke 10

  11. Client Resource Server Resource Owner profile: - name - email

    roles: - role_name Authorization Server photos: - api/photos - api/photos/descriptions API Scopes 11

  12. Client Resource Server Resource Owner photos: - api/photos - api/photos/descriptions

    profile: - name - email roles: - role_name Authorization Server Id Scopes 12

  13. Client (Photo retouch app) Resource Server (Photo storage) Authorization Server

    (Some social network) Resource Owner retouch my photos photos: api/photos profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s 13

  14. Client Resource Server Authorization Server photos: api/photos Resource Owner redirect

    to AS photos profile client_id profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s 14

  15. Client Authorization Server photos: api/photos Resource Server Resource Owner photos

    profile client_id client_id API scopes Id scopes Client photos profil e role s /authorize 15

  16. Client Resource Server Authorization Server photos: api/photos Resource Owner Login

    16

  17. Client Authorization Server photos: api/photos Resource Server Resource Owner 17

  18. Client Resource Server Authorization Server photos: api/photos Resource Owner Contest

    photos profile 18

  19. Client Authorization Server photos: api/photos Resource Server Resource Owner 19

  20. Client Authorization Server photos: api/photos Resource Server Resource Owner code

    callback code /token code 20

  21. Client Authorization Server photos: api/photos Resource Server Resource Owner id_token

    CLAIMS: - sub : 1 - name: kolyan - email: kolyan@... access_token photos profile CLAIMS: - sub : 1 - name: kolyan - email: kolyan@... access_token id_token refresh_token 21

  22. Client Authorization Server photos: api/photos Resource Server Resource Owner access_token

    refresh_token cookie 22

  23. Client photos: api/photos Resource Server Resource Owner access_token refresh_token cookie

    cookie Authorization Server refresh_token /token 23

  24. Client Authorization Server photos: api/photos Resource Server Resource Owner api/photos/{sub}

    access_token 24

  25. Client Authorization Server photos: api/photos Resource Server Resource Owner Retouched

    Successfully! 25

  26. Но есть нюанс! 26

  27. Нюанс первый 27

  28. Client Resource Server Authorization Server photos: api/photos Resource Owner Contest

    photos profile 28

  29. photos: api/photos Resource Server Contest Authorization Server photos profile Resource

    Owner Client 1. Доступ к данным определяется компанией 29

  30. photos: api/photos Resource Server Contest Authorization Server photos profile Resource

    Owner Client 1. Доступ к данным определяется компанией 2. Нельзя допустить нарушение бизнес-процессов 30

  31. photos: api/photos Resource Server Contest Authorization Server photos profile Resource

    Owner Client 1. Доступ к данным определяется компанией 2. Нельзя допустить нарушение бизнес-процессов 3. Пользователь - объект проверки 31

  32. Нюанс второй 32

  33. Client Resource Server Authorization Server Resource Owner redirect to AS

    photos profile client_id profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s role_name == ? photos: api/photos 33

  34. Client Resource Server Authorization Server Resource Owner redirect to AS

    photos profile profile: - name - email roles: - role_name client_id API scopes Id scopes Client photos profil e role s role_name == ? photos: api/photos client_id roles 34

  35. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles UserInfo endpoint? 35

  36. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles UserInfo endpoint Custom API? 36

  37. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles UserInfo endpoint Custom API Introspection endpoint? 37

  38. client_id API scopes Id scopes profile: - name - email

    role_name == ? photos profile Client roles roles: photos: api/photos - role_name Resource Server Authorization Server redirect to AS photos profile Resource Owner client_id Client roles 38

  39. Client Resource Owner /introspect access_token photos: api/photos Resource Server Authorization

    Server api/photos/{sub} access_token 39

  40. Client Resource Server Authorization Server Resource Owner role_name role_name ==

    ? photos: api/photos 40

  41. Нюанс третий 41

  42. Client Authorization Server photos: api/photos Resource Server Resource Owner client_id

    API scopes Id scopes Client photos profil e role s likes: api/likes Resource Server api/photos/{sub} access_token api/likes/{sub} access_token 42

  43. Client Authorization Server photos: api/photos Resource Server Resource Owner client_id

    API scopes Id scopes Client photo s likes profil e role s Resource Server likes: api/likes redirect to AS profile client_id photos likes 43

  44. Token Endpoint Способы получения токена (grant_types): code refresh_token password client_credentials

    44

  45. Token Endpoint Способы получения токена (grant_types): code refresh_token password client_credentials

    delegation 45

  46. Client photos: api/photos Resource Server Resource Owner client_id API scopes

    Id scopes Client photos profile roles Photos RS likes likes: api/likes Resource Server Authorization Server api/photos/{sub} access_token 46

  47. Client Resource Owner client_id API scopes Id scopes Client photos

    profile roles Photos RS likes likes: api/likes Resource Server likes access_token /token?grant_type=delegation photos: api/photos Resource Server Authorization Server api/photos/{sub} access_token 47

  48. Client Resource Owner likes: api/likes Resource Server rs_access_token rs_refresh_token photos:

    api/photos Resource Server Authorization Server api/likes/{sub} rs_access_token 48

  49. client_id API scopes Id scopes likes access_token Client photos profile

    /token?grant_type=delegation roles photos: api/photos Photos RS likes Resource Server Authorization Server api/photos/{sub} access_token likes: api/likes Resource Server Resource Owner Client Запланированные задачи! 49

  50. Client Resource Owner likes access_token /token?grant_type=delegation photos: api/photos Resource Server

    Authorization Server schedule job access_token 50

  51. Client Resource Server Authorization Server photos: api/photos Resource Owner rs_access_token

    rs_refresh_token rs_access_token rs_refresh_token 51

  52. Токены доступа Json Web Token Reference Token 52

  53. JSON Web Token 53

  54. Достоинства: Криптографическая проверка 54

  55. Достоинства: Криптографическая проверка Выданные токены нет необходимости хранить 55

  56. Недостатки: Большой размер 56

  57. Недостатки: Большой размер Отсутствие конфиденциальности 57

  58. Недостатки: Большой размер Отсутствие конфиденциальности Невозможность отозвать в случае компрометации

    58

  59. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Достоинства: Фиксированный размер Reference Token 59

  60. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Достоинства: Фиксированный размер Не содержит конфиденциальных данных 60

  61. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Достоинства: Фиксированный размер Не содержит конфиденциальных данных Можно

    отозвать 61

  62. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Недостатки: Нужно верифицировать на Introspection Enpoint 62

  63. accessToken: "fdbc3bc2091d988928ecd872f25a6ebe12063790ac69272c795da3518fbcf4b9" Недостатки: Нужно верифицировать на Introspection Enpoint Нужно хранить

    63

  64. Всем спасибо! Контакты: email: [email protected] telegram: @Aqaliareptt