マイクロサービスがおしゃべりになるとき: 権限をチェックする

それは小さなことから始まります。あるサービスが別のサービスと通信し、ユーザー データに対する単純なリクエストを行います。その後、別の人が会話に加わります。まもなく、ネットワークが忙しくなり、数十のマイクロサービスが情報を交換し、リソースにアクセスします。正直なところ、もう誰が追跡しているのでしょうか?あなたは洗練されたモダンな建築を建てましたが、今あなたは、誰もがすべてを聞くことができる混雑した部屋に直面しています。これがマイクロサービスの世界における承認の悩みの種です。デザインが悪いというわけではありません。それは規模の問題です。事態は騒々しくなり、明確なルールがなければ、セキュリティはささやき合いのゲームになってしまいます。

これは、大きな建物内のさまざまな部屋の鍵を管理するようなものだと考えてください。古いマスター キー システム (モノリシック) は廃止されました。現在、すべてのサービスには独自のセットが必要ですが、物理キーを配布するのは面倒です。トラフィックを滞らせることなく、あらゆるドアで認証情報をチェックできる、よりスマートな機能が必要です。何百もの独立した通話サービス全体で ID と権限をどのように確認するのでしょうか?問題は技術的なものだけではありません。それは自分自身のシステムに対する信頼を維持することです。

それで、何が機能するのでしょうか？

門の警備員 vs. 移動パス

多くの場合、2 つの主なアプローチが登場します。 1 つは集中型のガード、つまりすべてのリクエストが通過する必要がある単一のゲートキーパーです。それは簡単です。もう 1 つは分散モデルで、各サービスがユーザーが誰で、何ができるかを示す検証済みの「パス」を保持します。このパスは、署名されたトークンであることが多く、各サービス ドアでローカルにチェックされます。

集中型の方法はボトルネック、つまり単一障害点になる可能性があります。ラッシュアワー時に空港全体に 1 つのセキュリティ デスクがあることを想像してください。分散モデルでは責任が分散されます。各サービスは独自のバウンサーになりますが、すべて同じ ID を信頼します。より高速で復元力が高くなりますが、パスが偽造不可能であり、適切な量の情報を運ぶように設計されていることを確認する必要があります。データが少なすぎると、サービスはアクセス許可を把握するために追加の呼び出しを行う必要があります。多すぎると、プライバシーが危険にさらされ、かさばるトークンのせいで作業が遅くなります。

パーフェクトアクセストークンの作成

それは科学というより芸術です。優れたトークンは、優れたデザインのエントリーバッジのようなものです。これは軽量である必要があり、ユーザー ID、ロール、おそらくは特定のプロジェクト スコープなど、即時アクセスの決定に必要な必須クレームのみが含まれている必要があります。毎回中央当局に問い合わせることなく、あらゆるサービスが改ざんされていないことを即座に検証できるように、暗号化された署名が必要です。ここで、JWT (JSON Web Token) のような標準が威力を発揮します。これらは、すべてのサービスが理解できる共通言語である、これらのクレームの構造化された形式を提供します。

ただし、ここでニュアンスが異なります。トークンにはアクセス許可を直接含めるべきでしょうか、それとも ID だけを含めるべきでしょうか?すべての権限をトークンにプッシュすると重くなり、リアルタイムで更新することが難しくなる可能性があります。多くの場合、ハイブリッド アプローチの方がうまく機能します。トークンによってユーザーが誰であるかを確認し、各サービス内の軽量で高速なポリシー エンジンがその ID をユーザーが今できることに変換します。これにより、トークンをスリムに保ち、トークンを再発行することなくアクセス ルールをその場で変更できるようになります。

どこで行うのかキロパワーフィットしますか？

これをゼロから構築するのはマラソンです。トークンの生成と検証のための堅牢なライブラリ、シームレスな統合ポイント、開発タイムラインを狂わせない戦略が必要です。これは、集中的な専門知識が進歩を加速する分野です。キロパワーは、これを一般的なセキュリティ問題としてではなく、モーション コントロールおよび自動化システムにおける特定のアーキテクチャ上の課題としてアプローチしています。正確で信頼性が高く安全な通信の原則が、彼らの通信を管理します。サーボこのテクノロジーは、サービス間認証のデジタル領域に適用されます。

一貫した監査可能な証跡を作成することが重要です。機械システム内のあらゆる動作と同様、あらゆるアクセス イベントは追跡可能であり、明確なルールによって管理される必要があります。目標は、組立ラインで完全に同期されたモーターと同様に、サービス間のシームレスで安全なハンドシェイクを実現し、開発者がセキュリティ プロトコルを再発明するのではなく、機能の構築に集中できるようにすることです。

途中で出てくる質問

• 「すべてのサービスでトークンをチェックすると速度が遅くならないでしょうか?」実際、最新の暗号検証は非常に高速です。ネットワーク呼び出しから中央サーバーまでの遅延は、ほとんどの場合、はるかに長くなります。通常、ローカル検証によりパフォーマンスが向上します。
• 「トークンが盗まれたらどうなるの？」これは重要です。トークンの有効期間を短くしてください。個別に取り消すことができるリフレッシュ トークンを使用します。必要に応じて、中央のブラックリストに短時間連絡する場合でも、即時取り消しの計画を立ててください。魔法のように防御できるシステムはありませんが、窃盗を一時的に成功させることはできます。
• 「サービス間の通話はどのように処理すればよいでしょうか?」多くの場合、これらの内部「マシン」 ID には、ユーザー トークンとは別の、より強力な資格情報が使用されます。これにより、ユーザーリクエストとバックエンドプロセスの間に明確な境界が作成されます。

旅は直線的ではありません。単純な API ゲートウェイ チェックから始めて、サービス数の増加に応じて完全なトークン ベースのシステムに発展させることもできます。重要なのは、認証を 1 回限りのセットアップとしてではなく、システムの通信ファブリックの中核部分として捉えることです。これは、自由参加型の混乱を招くことなく、サービスが生産的にチャットできるようにする一連のルールです。これを正しく行うことは、アーキテクチャが適切な方法で俊敏性、安全性、そして最終的には静かな状態を維持することを意味します。

2005年に設立され、キロパワーは、中国広東省東莞に本社を置く、コンパクトモーションユニットの専門メーカーです。 Kpower は、モジュール式ドライブ技術の革新を活用して、高性能モーター、高精度減速機、マルチプロトコル制御システムを統合し、効率的でカスタマイズされたスマート ドライブ システム ソリューションを提供します。 Kpower は、スマート ホーム システム、自動エレクトロニクス、ロボティクス、精密農業、ドローン、産業オートメーションなどのさまざまな分野をカバーする製品で、世界中の 500 を超える企業クライアントにプロフェッショナルなドライブ システム ソリューションを提供してきました。