 |
|
|
|
Прозрачная защита микросервисов. Как защитить API и создать функциональность для REST API
Прозрачная защита микросервисов Сегодня сложное монолитное приложение делят на несколько микросервисов и публичное API для клиентов. Публичное API и общение между открытыми микросервисами требуют авторизационной защиты Проверка подлинности в теории В веб-приложениях, использующих REST API, в качестве защиты применяют рекомендации WWW. Защита происходит посредством токена, который передается в HTTP-заголовке Authorization и представляет собой «соленый» хеш передаваемого сообщения (md5, sha, sha512). Понятие «соленый» (salt) хеш появилось при создании систем хранения паролей, когда для доступа пользователя сравнивают не сам пароль, а его хеш. А чтобы в разы труднее было подобрать пароль, по уже готовым хешам, хеш «подсаливают», т.е. добавляют некую секретную константу («соль») и уже хешируют полученный результат. Не зная секретной константы, в случае утечки данных такие хеши намного труднее подбирать. Теперь, когда пользователь вводит пароль, на принимающей стороне система к нему подмешивает «соль», т.е. добавляют заданный секретный текст, хешируют и сравнивают уже «подсоленные» хеши. Аналогичный алгоритм используется и при авторизации микросервисов. Пользователю сервиса дается секретный ключ, который подмешивают в текст и уже от полученного результата берут хеш. В HTTP-заголовке Authorization передается текст: Token xxx, где иксы заменяются значением хеша. На принимающей стороне средствами HTTP-сервера проверяют подлинность отправляемого сообщения и воз-вращают либо результат работы микросервиса, либо 403 HTTP-код ошибки (Forbidden). И нет никакой необходимости данную функцию возлагать на сам микросервис. Nginx в качестве авторизационного сервиса Среди стандартных модулей nginx нет реализующего такую функцию. Есть очень похожий модуль ngx_http_auth_jwt_module, реализующий спецификацию JWT [1] RFC 7519, но с помощью него решаются более сложные задачи. Также естьмодуль nginx accesskey, который хеширует часть строки запроса, IP и другие выбранные параметры. Но, к сожалению, он разработан под nginx старых версий и не собирается с последними исходниками. Конечно, API nginx открыто, иможно реализовать свой модуль. Но зачем бить из пушки по воробьям, коль проще это разработать, используя модуль lua. Lua [2] (в переводе с португальского – «луна») – Open Source-скриптовый язык программирования, разработанный в подразделении Tecgraf (Computer Graphics Technology Group) католического университета Рио-де-Жанейро. По своим возможностям и идеологии язык очень похож на JavaScript и в основном используется во встраиваемых решениях, по большей части в игровой индустрии: World Craft, Angry Birds; при разработке IDE Adobe Photoshop Lightroom, Moai; всистемных программах apt-rpm, Redis, Tarantool. Lua – более прост и за счет этого быстр, занимает меньше места в оперативной памяти, имеет быстрый JIT-компилятор, поэтому он и нашел свою нишу в разного рода встраиваемых решениях. В настоящее время популярность Lua невелика – всего 25-е место среди языков программирования. Модуль lua_nginx_module [3] был разработан группой Openresty [4] под руководством Yichun Zhang (agentzh) в рамках создания одноименной платформы на основе собственной сборки nginx для проекта Taobao.com. Этовысокопроизводительная HTTP-платформа, выдерживающая до 100 тысяч соединений на один узел, на базе которой возможно вести разработку разных веб-приложений и микросервисов. Освоение этой платформы выходит за рамки данной статьи. Статью целиком читайте в журнале «Системный администратор», №11 за 2016 г. на страницах 50-55. PDF-версию данного номера можно приобрести в нашем магазине.
|
АЛЕКСАНДР КАЛЕНДАРЕВ, OTG, руководитель группы (ТимЛид), Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
