V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rapperx2
V2EX  ›  Java

请教大佬们,微服务中多系统统一权限怎么设计

  •  
  •   rapperx2 · 2021-09-17 08:22:57 +08:00 · 3722 次点击
    这是一个创建于 1167 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前全部是单体应用,现在想改成微服务架构了。

    比如现在有 ERP,MES,OMS 这几个系统需要整合,但是每个系统权限控制都不一样,有的可能需要需要分企业账号和个人账号,权限分配给企业管理,每个企业有自己的权限控制。有的系统就只需要一个系统管理员做所有控制。

    之前都是自己的系统负责自己的权限控制,现在想做统一权限没经验,所以想请教下大佬们都是怎么做的。
    14 条回复    2021-09-18 12:41:53 +08:00
    leonme
        1
    leonme  
       2021-09-17 08:30:50 +08:00 via iPhone
    这个是强业务相关,没人能给你答案啊……除非梳理出一张大而全的现有权限列表
    qwerthhusn
        2
    qwerthhusn  
       2021-09-17 08:34:05 +08:00
    在网关弄一个 RBAC 权限模型

    用户的请求经过网关的时候,根据 URL 直接判断用户有没有权限
    nong99
        3
    nong99  
       2021-09-17 08:37:40 +08:00 via Android
    最近也想自己折腾下,不过是侧重实验微前端的。请问您们这边有使用到微前端吗?有什么推荐方案吗?谢谢哈(个人实验玩,没有上过真实项目)
    JamChiu
        4
    JamChiu  
       2021-09-17 09:01:33 +08:00
    账号 1:N 子系统 1:N 角色 1:N 权限

    这样应该就可以了,多一层子系统而已
    thtznet
        5
    thtznet  
       2021-09-17 09:03:49 +08:00   ❤️ 2
    ERP 、MES 、OMS,你这个不像微服务,最多可以拆成 SOA 吧。微服务不是应该打碎所有系统模块,将每个服务独立出来,我的理解是,例如 [基础数据-物料] 应该是一个独立服务,ERP 模块、MES 模块、OMS 模块都可以访问这个服务,同样的,模块的组织形式就不在后端了,而是由前端根据业务形态组织起来,在后端看上去,就没有什么 ERP 模块、MES 模块的组织形式了。
    litchinn
        6
    litchinn  
       2021-09-17 09:48:11 +08:00
    目前从你的描述来看感觉就是个普遍的权限控制,通过组织机构可以控制数据权限,比如企业和个人,通过角色可以控制用户对各个模块和方法的访问
    masterclock
        7
    masterclock  
       2021-09-17 09:55:16 +08:00
    nicholasxuu
        8
    nicholasxuu  
       2021-09-17 10:25:07 +08:00
    k8s+envoy 的话,envoy 的 ext_authz 可以提供统一鉴权的功能,比如通过 rpc 服务,把 jwt token 解密后,把用户权限信息放到 header 里给服务使用。
    https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/filters/http/ext_authz/v3/ext_authz.proto
    nicholasxuu
        9
    nicholasxuu  
       2021-09-17 10:26:39 +08:00
    不然就是在微服务的共享框架代码里,添加调用鉴权服务的中间件。让每个微服务都可以方便的使用。
    MasterMonkey
        10
    MasterMonkey  
       2021-09-17 11:34:47 +08:00
    OAUTH2/OIDC/API Manager 了解下? 我最近也在了解这个
    swcat
        11
    swcat  
       2021-09-17 14:22:48 +08:00
    user role user_role permission
    其他的就是在这个基础上扩展

    使用的话, 最终形态就是 user->can()

    然后权限控制可以写在 nginx 那一层, 有权限的放, 没权限的禁止, 再细致的数据权限, 需要在代码里面处理
    initdada
        12
    initdada  
       2021-09-17 17:36:57 +08:00
    SAAS,单独做个统一管理授权系统,然后下发子系统权限就好了
    kiddingU
        13
    kiddingU  
       2021-09-17 17:43:11 +08:00
    网关入口做鉴权呗,微服务只做具体业务
    liian2019
        14
    liian2019  
       2021-09-18 12:41:53 +08:00
    搞一个授权网关
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2946 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:01 · PVG 23:01 · LAX 07:01 · JFK 10:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.