網關鑒權模式（API Gateway）

（圖片來自WillTran在slideshare分享）

通過上圖可見，因為在微服務的最前端一般會有一個API網關模塊（API Gateway），所有的外部請求訪問微服務集群時，都會首先通過這個API Gateway，所以我們可以在這個模塊里部署auth邏輯，實現統一集中鑒權，鑒權通過后，再把請求轉發給后端各個服務。

這種模式的優點就是，由API Gateway集中處理了鑒權的邏輯，使得后端各微服務節點自身邏輯就簡單了，只需要關注業務邏輯，無需關注安全性事宜。

這個模式的問題就是，API Gateway適用于身份驗證和簡單的路徑授權（基于URL的），對于復雜數據/角色的授權訪問權限，通過API Gateway很難去靈活的控制，畢竟這些邏輯都是存在后端服務上的，并非存儲在API Gateway里。

服務自主鑒權模式

（圖片來自WillTran在slideshare分享）

服務自主鑒權就是指不通過前端的API Gateway來控制，而是由后端的每一個微服務節點自己去鑒權。

它的優點就是可以由更為靈活的訪問授權策略，并且相當于微服務節點完全無狀態化了。同時還可以避免API Gateway 中 auth 模塊的性能瓶頸。

缺點就是由于每一個微服務都自主鑒權，當一個請求要經過多個微服務節點時，會進行重復鑒權，增加了很多額外的性能開銷。

API Token模式（OAuth2.0）

（圖片來自網絡）

如圖，這是一種采用基于令牌Token的授權方式。在這個模式下，是由授權服務器（圖中Authorization Server）、API網關（圖中API Gateway）、內部的微服務節點幾個模塊組成。

流程如下：

第一步：客戶端應用首先使用賬號密碼或者其它身份信息去訪問授權服務器（Authorization Server）獲取 訪問令牌（Access Token）。

第二步：拿到訪問令牌（Access Token）后帶著它再去訪問API網關（圖中API Gateway），API Gateway自己是無法判斷這個Access Token是否合法的，所以走第三步。

第三步：API Gateway去調用Authorization Server校驗一下Access Token的合法性。

第四步：如果驗證完Access Token是合法的，那API Gateway就將Access Token換成JWT令牌返回。

（注意：此處也可以不換成JWT而是直接返回原Access Token。但是換成JWT更好，因為Access Token是一串不可讀無意義的字符串，每次驗證Access Token是否合法都需要去訪問Authorization Server才知道。但是JWT令牌是一個包含JOSN對象，有用戶信息和其它數據的一個字符串，后面微服務節點拿到JWT之后，自己就可以做校驗，減少了交互次數）。

第五步：API Gateway有了JWT之后，就將請求向后端微服務節點進行轉發，同時會帶上這個JWT。

第六步：微服務節點收到請求后，讀取里面的JWT，然后通過加密算法驗證這個JWT，驗證通過后，就處理請求邏輯。

這里面就使用到了OAuth2.0的原理，不過這只是OAuth2.0各類模式中的一種。

授權碼（Authorization Code）

授權碼模式是指：客戶端應用先去申請一個授權碼，然后再拿著這個授權碼去獲取令牌的模式。這也是目前最為常用的一種模式，安全性比較高，適用于我們常用的前后端分離項目。通過前端跳轉的方式去訪問 授權服務器 獲取授權碼，然后后端再用這個授權碼訪問 授權服務器 以獲取 訪問令牌。

流程如上圖。

第一步，客戶端的前端頁面(圖中UserAgent)將用戶跳轉到 授權服務器(Authorization Server)里進行授權，授權完成后，返回 授權碼(Authorization Code)

第二步，客戶端的后端服務(圖中Client)攜帶授權碼(Authorization Code)去訪問 授權服務器，然后獲得正式的 訪問令牌(Access Token)

頁面的前端和后端分別做不同的邏輯，前端接觸不到Access Token，保證了Access Token的安全性。

簡化式（Implicit）

簡化模式是在項目是一個純前端應用，在沒有后端的情況下，采用的一種模式。

因為這種方式令牌是直接存在前端的，所以非常不安全，因此令牌的有限期設置就不能太長。

其流程就是：

第一步：應用（純前端的應用）將用戶跳轉到 授權服務器(Authorization Server)里進行授權，授權完成后，授權服務器 直接將 Access Token 返回給 前端應用，令牌存儲在前端頁面。

第二步：應用（純前端的應用）攜帶 訪問令牌(Access Token) 去訪問資源，獲取資源。

在整個過程中，雖然令牌是在前端URL中直接傳遞，但注意，令牌在HTTP協議中不是放在URL參數字段中的，而是放在URL錨點里。因為錨點數據不會被瀏覽器發到服務器，因此有一定的安全保障。

用戶名密碼（Resource Owner Credentials）

這種方式最容易理解了，直接使用用戶的用戶名/密碼作為授權方式去訪問 授權服務器，從而獲取Access Token，這個方式因為需要用戶給出自己的密碼，所以非常的不安全性。一般僅在客戶端應用與授權服務器、資源服務器是歸屬統一公司/團隊，互相非常信任的情況下采用。

客戶端憑證（Client Credentials）

這是適用于服務器間通信的場景。客戶端應用拿一個用戶憑證去找授權服務器獲取Access Token。