• summary

工作中常听到这几个,没怎么关注过,毕竟不是infra的事情,今天抽空整理下

可能不是很精准,还是在一个维护和学习的过程.

AuthN == 分别代表身份认证(Authentication)

AuthZ == 授权(Authorization)

Auths == 授权(Authorization)和会话管理(Session Management)。

• authN

AuthN(Authentication):用于验证用户身份,确认请求者的身份。通常通过用户名密码、证书、生物特征等方式完成。

所以简单来说:

AuthN负责验证你是谁。

```mermaid
sequenceDiagram
Participant Client
Participant Gateway
Participant Backend

Client->>Gateway: Request
Gateway->>Client: 401 Unauthorized
Client->>Gateway: Request with Credentials
Gateway->>Backend: Validate Credentials
Backend-->>Gateway: Valid
Gateway-->>Client: 200 OK
Client->>Gateway: Request Resource
Gateway->>Backend: Allow Resource Access
Backend-->>Gateway: Resource Data
Gateway-->>Client: Resource Data
```

简要步骤说明:

- 客户端发起未授权的请求,网关返回401未授权状态码

- 客户端发送包含凭据的请求,网关将凭据发给后端验证

- 后端验证凭据有效

- 网关向客户端返回200 OK状态,表示通过认证

- 客户端使用通过认证的会话请求资源

- 网关检查会话允许资源访问,请求后端的资源数据

- 后端返回资源数据,网关转发给客户端

• authz

AuthZ(Authorization):用于授予经过认证的用户适当的权限,确定用户有权限去访问哪些资源。授权是在认证的基础上进一步规定用户的操作权限。

AuthZ负责验证你有权限干什么。

主要步骤:

• 客户端请求资源
• 网关检查该用户是否有资源的访问权限
• AuthZ服务确认用户有权限
• 网关向后端请求资源,并返回给客户端
• 客户端再次请求另一个资源
• 网关检查权限,AuthZ服务否决
• 网关返回403拒绝访问

这显示了AuthZ在API网关中的一个简单运用场景,主要是在客户端访问资源前,通过AuthZ服务检查其权限,根据授权结果决定是否允许访问后端资源。

我们可以在该流程中加入更多授权控制逻辑,以满足实际场景的复杂需求

auths

AuthS(Session Management):用于管理用户在应用程序的会话,包括用户登录后生成会话、验证会话有效性以及会话过期等。它是用户验证后的连接管理,防止身份被盗用。

AuthS负责管理你的验证会话。

说明:

1. 登录时,AuthS验证用户,创建Session
2. 后续请求中携带Session ID,AuthS验证Session有效性
3. Session过期时,提示重新登录

JWT的端到端认证

主要步骤:

• 用户向前端请求登录
• 前端将请求转发到后端
• 后端验证用户凭据
• 后端生成JWT Token返回给前端
• 前端将JWT Token返回给用户
• 用户使用JWT请求资源
• 前端将请求和JWT转发到后端
• 后端验证JWT有效性
• 后端查询用户角色信息
• 后端根据角色信息返回允许的资源
• 前端将资源返回给用户
  这显示了一个端到端的场景,涵盖了用户登录、JWT生成、资源访问授权等流程。可以根据需要添加更多业务逻辑
• 
  

Other