一種基于OAuth2.0的微服務電力系統(tǒng)授權方案

吉書強

摘要：為解決傳統(tǒng)單體系統(tǒng)信息孤島問題，電力系統(tǒng)逐步向微服務架構轉型。針對基于微服務的電力系統(tǒng)中高安全性、高擴展性、高可靠性和低侵入性的要求，設計了一種基于OAuth2.0的授權方案，方案引入雙重校驗機制，同時對客戶端和用戶進行授權鑒權，滿足電力系統(tǒng)應用需求。文中對該授權方案進行了詳細的分析和闡述。

關鍵詞：微服務;電力系統(tǒng);OAuth2.0;授權;鑒權

中圖分類號：TP393.09 文獻標識碼：A 文章編號：1007-9416（2019）06-0103-03

0 引言

目前電力系統(tǒng)大多仍采用單體應用模式，隨著各種系統(tǒng)數(shù)量的增加及單體應用規(guī)模的擴展，單體應用的問題也逐漸暴露，如：應用復雜、維護升級和擴展新功能困難、相同業(yè)務需求因業(yè)務管理條塊分割、管理邊界重疊交叉、功能重復建設、信息不能共享形成信息孤島。隨著智能電網(wǎng)和計算機技術、網(wǎng)絡技術和通訊技術的快速發(fā)展，全球能源互聯(lián)網(wǎng)建設工作的不斷推進，電力企業(yè)業(yè)務應用系統(tǒng)和平臺建設逐步向規(guī)模化、多功能化、高效率和高性能的方向發(fā)展。

微服務[1]是一些協(xié)同工作的小而自治的服務，具有高內聚和高自治性。微服務根據(jù)業(yè)務的邊界確定服務的邊界。服務之間通過網(wǎng)絡調用通信，加強服務之間的隔離，避免緊耦合。微服務架構在應對電力信息系統(tǒng)高實時性、高可靠性、高伸縮性及高擴展性的要求具有很大優(yōu)勢，能夠解決傳統(tǒng)電力系統(tǒng)信息孤島問題。

云安全聯(lián)盟（Cloud Security Alliance）發(fā)布的《云安全指南V3.0》[2]中指出云安全中的身份認證問題時信息系統(tǒng)的焦點問題之一。基于微服務架構的電力系統(tǒng)具有服務實例數(shù)量多、類型復雜、業(yè)務邏輯復雜、數(shù)據(jù)量龐大、安全性要求高和接入客戶端多等特點。如何有效控制不同客戶端及不同用戶的權限是一種挑戰(zhàn)。服務接入授權系統(tǒng)后，不能降低服務吞吐量，不能阻塞業(yè)務調度，更不能改變業(yè)務邏輯，對于已有的服務，在不改動服務架構的前提下，如何快速接入權限系統(tǒng)也是需要解決的問題。因此，設計一種能夠將業(yè)務服務脫離權限校驗細節(jié)且獨立、高可用、高安全性及高擴展性的授權方案是非常必要的。

本文通過對OAuth2.0協(xié)議的詳細研究，提出了一種基于OAuth2.0協(xié)議的授權方案，能夠對接入的客戶端和用戶實現(xiàn)雙重校驗，降低基于微服務的電力系統(tǒng)集成授權功能的復雜度。

1 OAuth2.0協(xié)議

1.1 OAuth2.0協(xié)議

OAuth2.0是一種開放的協(xié)議，為桌面程序或者Web應用提供了一種簡單的，標準的方式去訪問受保護的資源。OAuth 認證授權具有簡單、安全、開放的特點。OAuth 2.0 關注客戶端開發(fā)者的簡易性，同時為 Web 應用，桌面應用和App提供專門的認證流程。OAuth2.0協(xié)議授權流程圖如圖1所示。

OAuth 2.0協(xié)議主要有4種執(zhí)行角色（資源擁有者用戶、授權服務器、客戶端、資源服務器）定義了四種授權模式：

1.1.1 授權碼模式（Authorization Code）

授權碼模式（Authorization Code）是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端后臺服務器與授權服務器進行互動。授權碼模式下用戶登錄授權后，授權服務器頒發(fā)授權碼，客戶端利用授權碼換取令牌（Access Token）進行訪問。

1.1.2 密碼模式（Resource Owner Password Credentials）

密碼模式中，用戶向客戶端提供自己的用戶名和密碼。客戶端使用這些信息，向權限系統(tǒng)申請授權。這種模式只適用于用戶對客戶端高度信任的情況下。

1.1.3 隱藏模式（Implicit）

隱藏模式跳過授權碼步驟直接向客戶端頒發(fā)令牌，這種方式適用于令牌會話期有效的場景。

1.1.4 客戶端憑證（Client Credentials）

只針對客戶端進行驗證，而不對用戶驗證，多個用戶可能共享同一個令牌。

1.2 授權流程優(yōu)化

在微服務應用場景下，已有不少開發(fā)者對協(xié)議進行了優(yōu)化[3-5]，但是對客戶端權限控制幾乎沒有。由于接入客戶端數(shù)量多，且電力系統(tǒng)應用的安全性要求高，僅僅對客戶端或用戶進行授權及鑒權都不合適，應該要同時對客戶端及用戶進行鑒權，以提高系統(tǒng)的安全性。為了解決以上問題，本文基于OAuth2.0協(xié)議結合JWT等技術，提出一種授權方案以提高電力系統(tǒng)安全性。方案將授權系統(tǒng)服務化，同時對客戶端及用戶鑒權，并降低對業(yè)務服務的侵入性，增強系統(tǒng)擴展性，進而增強電力系統(tǒng)的安全性與開放性。

2 授權方案的設計

基于微服務的電力系統(tǒng)架構圖如圖2所示，系統(tǒng)統(tǒng)一通過Api網(wǎng)關提供服務接口，請求到達Api網(wǎng)關后轉發(fā)到授權服務器，進行統(tǒng)一的認證、授權和鑒權。業(yè)務系統(tǒng)不進行權限驗證，專注于業(yè)務處理。

客戶端接入授權系統(tǒng)前，需要在管理系統(tǒng)中提出申請并注冊Redirect_Uri（重定向地址），管理員審核通過后為客戶端分配App_ ID和App_Key，同時為客戶端分配可調配資源（Resources），有效期等信息。申請通過后客戶端可以接入授權系統(tǒng)，授權方案處理流程如下：

（1）用戶首次通過第三方客戶端發(fā)起資源請求時，客戶端先利用管理員分配的App_ ID和App_Key向授權服務器請求授權，授權服務器通過App_ID和App_Key驗證客戶端有效性，驗證成功后頒發(fā)客戶端令牌Client_Token，Client_Token具有時效性，驗證不成功駁回客戶端請求。

（2）客戶端獲取Client_Token后發(fā)起授權請求，申請用戶進行授權，請求包括Client_ Token、Response_Type（授權類型）、State（授權服務器直接返回）、Scope（授權范圍）和Redirect_Uri，授權服務器驗證Client_Token及Redirect_Uri通過后，將用戶導向認證登錄頁面，用戶輸入用戶名密碼后進行登錄并對客戶端授權，授權服務器將用戶導向客戶端的重定向地址Redirect URI，同時返回Authorization Code（授權碼），授權碼時效性很短并且只能使用一次。

（3）客戶端使用Client_Token、Authorization Code訪問授權服務器授權端點換取訪問令牌，授權服務器對Client_Token和Authorization Code校驗通過后銷毀授權碼并頒發(fā)具有有效期（Expires）的AccessToken（訪問令牌）給客戶端。

（4）客戶端攜帶Client_Token和AccessToken訪問資源服務器申請資源，客戶端需要同時提供Client_Token和AccessToken。

方案在授權流程中引入對客戶端權限的授權，并對客戶端的可申請資源進行限制，加強對客戶端的安全控制增強系統(tǒng)安全性，改進后的授權請求順序圖如圖3所示。

Api網(wǎng)關作為系統(tǒng)統(tǒng)一出入口，當請求到達時，Api網(wǎng)關首先驗證當前請求是否攜帶Client_Token，如果未攜帶Client_Token直接駁回請求，驗證通過后，Api網(wǎng)關判斷客戶端請求資源是否是公開資源，如果是公開資源直接轉發(fā)給資源服務器處理。請求保護資源時，Api網(wǎng)關進一步檢測當前請求是否攜帶Access_Token，檢測通過后，Api網(wǎng)關將Client_Token、Access_Token和請求發(fā)送給授權服務器進行鑒權處理。驗證未通過直接駁回請求。

授權服務器接收到請求后，首先根據(jù)Client_Token解析客戶端信息獲取客戶端可調用資源，檢驗當前請求資源是否在客戶端可調配資源范圍內，如果不在可調配資源范圍內則檢驗不通過駁回請求。檢驗通過后授權服務器根據(jù)AccessToken獲取當前用戶角色及權限信息，校驗用戶權限與當前請求資源的權限是否匹配，匹配則校驗通過，權限校驗通過后，Api網(wǎng)關將請求轉發(fā)給目標資源服務進行響應，如果校驗未通過，駁回當前請求。權限校驗流程如圖4所示。

3 結語

本文基于微服務電力系統(tǒng)應用場景，針對電力系統(tǒng)高安全性要求，在OAuth2.0協(xié)議的基礎上提出一種基于OAuth2.0的授權方案，對授權及鑒權流程進行改進引入雙重權限校驗機制，對客戶端及用戶同時進行授權鑒權，并對授權鑒權流程進行了詳細設計和介紹。方案可擴展性強，可靠性高，對業(yè)務服務屏蔽授權、鑒權細節(jié)，侵入性小。

參考文獻

[1] 辛園園，鈕俊，謝志軍，張開樂，毛昕怡.微服務體系結構實現(xiàn)框架綜述[J].計算機工程與應用，2018，54（19）：10-17.

[2] Cloud Security Alliance.The Treacherous Twelve.[EB/OL].（2016-04-02）[2016-03-15].http：//www.doit.com.cn/p/240905.html.

[3] 魏成坤，劉向東，石兆軍.基于OAuth2.0的認證授權技術研究[J].信息網(wǎng)絡安全，2016（9）：6-11.

[4] 吳德，應毅，毛道鶴.基于OAuth2.0的認證授權方案設計與優(yōu)化[J].軟件，2018，39（10）：10-13.

[5] 歐海文，付永亮，于芋，胡馨月.一種改進的OAuth授權機制有效性分析[J].計算機應用與軟件，2017，34（12）：196-201.

OAuth2.0 Based Authorization Scheme in Microservice Electric System

JI Shu-qiang

（Nanjing Huadun Electric Power Information Security Assessment Co.，Ltd， Nanjing Jiangsu? 211106）

Abstract：To solve the problem of isolated information in traditional single system， Electric System are transitioning to micro-service architecture. In order to satisfy the requirements of high security， high scalability， high reliability and low invasion in electric system based on micro-service， We proposed an authorization scheme based on OAuth2.0. In which a double verification mechanism is introduced to authorize and authenticate the client and user at the same time. In this paper we analyzed and described the authorization scheme in detail.

Key words：Micro Service; Electric System; OAuth2.0; Authorize; Authenticate