Прозрачная защита микросервисов. Как защитить API и создать функциональность для REST API::Журнал СА 11.2016
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Контакты
   

  Опросы
1001 и 1 книга  
12.02.2021г.
Просмотров: 13951
Комментарии: 42
Коротко о корпусе. Как выбрать системный блок под конкретные задачи

 Читать далее...

11.02.2021г.
Просмотров: 15048
Комментарии: 15
Василий Севостьянов: «Как безболезненно перейти с одного продукта на другой»

 Читать далее...

20.12.2019г.
Просмотров: 24931
Комментарии: 12
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 17107
Комментарии: 16
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 17745
Комментарии: 10
Анализ вредоносных программ

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Прозрачная защита микросервисов. Как защитить API и создать функциональность для REST API

Архив номеров / 2016 / Выпуск №11 (168) / Прозрачная защита микросервисов. Как защитить API и создать функциональность для REST API

Рубрика: Разработка /  Микросервисы   | Дополнительные материалы

Александр Календарев АЛЕКСАНДР КАЛЕНДАРЕВ, OTG, руководитель группы (ТимЛид), akalend@mail.ru

Прозрачная защита микросервисов
Как защитить API и создать функциональность для REST API

Сегодня сложное монолитное приложение делят на несколько микросервисов и публичное API для клиентов. Публичное API и общение между открытыми микросервисами требуют авторизационной защиты

Проверка подлинности в теории

В веб-приложениях, использующих REST API, в качестве защиты применяют рекомендации WWW. Защита происходит посредством токена, который передается в HTTP-заголовке Authorization и представляет собой «соленый» хеш передаваемого сообщения (md5, sha, sha512).

Понятие «соленый» (salt) хеш появилось при создании систем хранения паролей, когда для доступа пользователя сравнивают не сам пароль, а его хеш. А чтобы в разы труднее было подобрать пароль, по уже готовым хешам, хеш «подсаливают», т.е. добавляют некую секретную константу («соль») и уже хешируют полученный результат. Не зная секретной константы, в случае утечки данных такие хеши намного труднее подбирать. Теперь, когда пользователь вводит пароль, на принимающей стороне система к нему подмешивает «соль», т.е. добавляют заданный секретный текст, хешируют и сравнивают уже «подсоленные» хеши.

Аналогичный алгоритм используется и при авторизации микросервисов. Пользователю сервиса дается секретный ключ, который подмешивают в текст и уже от полученного результата берут хеш. В HTTP-заголовке Authorization передается текст: Token xxx, где иксы заменяются значением хеша.

На принимающей стороне средствами HTTP-сервера проверяют подлинность отправляемого сообщения и воз-вращают либо результат работы микросервиса, либо 403 HTTP-код ошибки (Forbidden). И нет никакой необходимости данную функцию возлагать на сам микросервис.

Nginx в качестве авторизационного сервиса

Среди стандартных модулей nginx нет реализующего такую функцию. Есть очень похожий модуль ngx_http_auth_jwt_module, реализующий спецификацию JWT [1] RFC 7519, но с помощью него решаются более сложные задачи. Также естьмодуль nginx accesskey, который хеширует часть строки запроса, IP и другие выбранные параметры. Но, к сожалению, он разработан под nginx старых версий и не собирается с последними исходниками. Конечно, API nginx открыто, иможно реализовать свой модуль. Но зачем бить из пушки по воробьям, коль проще это разработать, используя модуль lua.

Lua [2] (в переводе с португальского – «луна») – Open Source-скриптовый язык программирования, разработанный в подразделении Tecgraf (Computer Graphics Technology Group) католического университета Рио-де-Жанейро. По своим возможностям и идеологии язык очень похож на JavaScript и в основном используется во встраиваемых решениях, по большей части в игровой индустрии: World Craft, Angry Birds; при разработке IDE Adobe Photoshop Lightroom, Moai; всистемных программах apt-rpm, Redis, Tarantool. Lua – более прост и за счет этого быстр, занимает меньше места в оперативной памяти, имеет быстрый JIT-компилятор, поэтому он и нашел свою нишу в разного рода встраиваемых решениях. В настоящее время популярность Lua невелика – всего 25-е место среди языков программирования.

Модуль lua_nginx_module [3] был разработан группой Openresty [4] под руководством Yichun Zhang (agentzh) в рамках создания одноименной платформы на основе собственной сборки nginx для проекта Taobao.com. Этовысокопроизводительная HTTP-платформа, выдерживающая до 100 тысяч соединений на один узел, на базе которой возможно вести разработку разных веб-приложений и микросервисов. Освоение этой платформы выходит за рамки данной статьи.

Статью целиком читайте в журнале «Системный администратор», №11 за 2016 г. на страницах 50-55.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Cпецификация JWT – https://jwt.io.
  2. Oфициальный сайт языка Lua – http://Lua.org.
  3. Cсылка на репозиторий lua-модуля nginx – https://github.com/openresty/lua-nginx-module.
  4. Сайт проекта Openresty – http://openresty.org.
  5. Исходные коды проекта – https://github.com/akalend/authorize-rest.lua.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru