마이크로서비스의 보안

7. 마이크로서비스의 보안

마이크로서비스를 호출하는 사용자가 본인인지 인증하는(authenticate) 방법과 특정 마이크로서비스에서 요청한 작업을 수행할 수 있는 권한을 부여 받았는지(authorized) 확인하는 방법

목표

7. 마이크로서비스의 보안

안전한 애플리케이션의 특징

7. 1 OAuth2 소개

토큰 기반 보안 프레임워크

- 사용자가 제3자 서비스에서 자신을 인증할 수 있다

- 사용자 요청을 수행하기 위해 여러 서비스를 호출할 때 이 요청을 처리할 서비스에 일일이 자격 증명을 제시하지 않고도 사용자를 인증

OAuth2

7. 1 OAuth2 소개

보호 자원: 보호하려는 자원(마이크로서비스)이며 적절한 권한을 부여받은 인증된 사용자만 액세스할 수 있다
자원 소유자: 서비스를 호출할 수 있는 애플리케이션 및 서비스에 접근할 수 있는 사용자, 그리고 서비스에서 수행할 수 있는 작업을 정의한다. 자원 소유자가 등록한 애플리케이션은 식별 가능한 애플리케이션 이름과 시크릿 키를 받는다. 애플리케이션 이름과 시크릿 키는 OAuth2 토큰을 인증할 때 전달되는 자격 증명의 일부

OAuth2 - 토큰 기반의 보안 인증과 인가 프레임워크

7. 1 OAuth2 소개

3. 애플리케이션: 사용자를 대신해 서비스를 호출할 애플리케이션이다. 즉, 사용자는 서비스를 직접 호출하지 않는 대신 애플리케이션에 의존해 작업 수행

4. OAuth2 인증 서버: 애플리케이션과 소비되는 서비스 사이의 중개자다. OAuth2 서버를 사용하면 애플리케이션이 사용자 대신 호출하는 모든 서비스에 사용자의 자격 증명을 전달하지 않고도 사용자 자신을 인증할 수 있다

7. 1 OAuth2 소개

OAuth2 인증 절차

7. 2 작게 시작: 스프링과 OAuth2로 1개의 엔드포인트 보호

OAuth2 패스워드 그랜트 타입 구현

7.3.4 OAuth2 액세스 토큰 전파

주울 서비스 게이트웨이가 OAuth2 토큰을 라이선싱 서비스에 전달하도록 수정 - zuul.sensitiveHeaders: Cookie,Set-Cookie
라이선싱 서비스가 OAuth2 자원 서비스가 되도록 구성하고 인가 규칙을 설정
라이선싱 서비스 코드에서 조직 서비스를 호출하는 방법을 수정
OAuth2RestTemplate 사용으로 OAuth2 액세스 토큰 전파

7.4 자바스크립트 웹 토큰과 OAuth2

OAuth2 토큰 표준을 보완하기 위해 JWT 표준 등장

7.5 마이크로서비스 보안을 마치며

마이크로서비스 구축 원칙

스프링