微服务动态权限管理方案（Spring Cloud Gateway+Spring Cloud Security）

方案简述

微服务认证方案的大体方向是统一在网关层面认证鉴权，微服务只负责业务，和鉴权完全隔离

整体包含以下四个角色

• 客户端：需要访问微服务资源

• 网关：负责转发、认证、鉴权

• OAuth2.0授权服务：负责认证授权颁发令牌

• 微服务集合：提供资源的一系列服务。

这里的客户端自然是网站的用户

网关就由现有的gataway充当

OAuth2.0授权服务 由authService充当

微服务集合就为所以其他的业务service

权限认证时序图

大致流程如下：

1、客户端发出请求给网关获取令牌

2、网关收到请求，直接转发给授权服务

3、授权服务验证用户名、密码等一系列身份，通过则颁发令牌给客户端

4、客户端携带令牌请求资源，请求直接到了网关层

5、网关对令牌进行校验（验签、过期时间校验....）、鉴权（对当前令牌携带的权限）和访问资源所需的权限进行比对，如果权限有交集则通过校验，直接转发给微服务

6、微服务进行逻辑处理

这里对网关鉴权进行一些说明，此时令牌解析后可以获得令牌对应的权限，然后此时获取该请求要访问的路径，在redis中取出该路径对应的角色组（即哪些角色有路径的访问权限），如果这个角色组包含令牌中的角色则鉴权成功

权限模型设计

RBAC权限模型（Role-Based Access Control）

即：基于角色的权限控制。模型中有几个关键的术语：

• 用户：系统接口及功能访问的操作者

• 权限：能够访问某接口或者做某操作的授权资格

• 角色：具有一类相同操作权限的用户的总称

RBAC权限模型核心授权逻辑如下：

• 某用户是什么角色？

• 某角色具有什么权限？

• 通过角色的权限推导用户的权限

数据库表设计