Nacos 權限控制介紹及實戰

轉自：阿里巴巴中間件

作者：朱鵬飛

Nacos權限控制設計方案

方案背景

 Nacos 自開源依賴，權限控制一直需求比較強烈，這也反應了用戶需求將 Nacos 部署到生產環境的需求。最新發布的 Nacos 1.2.0版本已經支持了服務發現和配置管理的權限控制，保障用戶安全上生產。本文主要介紹 Nacos 權限控制的設計方案和使用指南。什麼是權限控制？在分布式服務調用時，需要對未知的或者不受信任的請求來源的請求進行識別和拒絕。權限控制一般分為兩個階段：身份識別（Authentication）和權限識別（Authorization）。身份認證主要確定訪問者的身份，權限識別則判斷這個訪問者是否有對應資源的權限。在 Nacos 的場景中，配置管理的權限控制指的是設置某個配置能否被某個用戶讀寫，這個比較好理解，沒有權限的用戶舊無法讀取或者寫入對應的配置。服務發現的權限控制指的是用戶是否有權限進行某個服務的註冊或者訂閱，這裡需要注意的是服務發現的權限控制只能夠控制用戶是否可以從 Nacos 獲取到服務的地址或者在 Nacos 上修改服務的地址。但是如果已經獲取到了服務的地址， Nacos 無法在服務真正調用時進行權限控制，這個時候的權限控制需要由服務框架來完成。常見實現方式：認證（Authentication）Token（JWT，Oauth，LDAP，SAML，OpenID）鑑權（Authorization）DAC：規定資源可以被哪些主體進行哪些操作 同時，主體可以將資源的權限，授予其他主體；MAC：a. 規定資源可以被哪些類別的主體進行哪些操作 。b. 規定主體可以對哪些等級的資源進行哪些操作 當一個操作，同時滿足a與b時，允許操作；RBAC：a. 規定角色可以對哪些資源進行哪些操作 。b. 規定主體擁有哪些角色當一個操作，同時滿足a與b時，允許操作；ABAC：規定哪些屬性的主體可以對哪些屬性的資源在哪些屬性的情況下進行哪些操作。方案詳情

Nacos 的權限控制，目標是能夠滿足用戶基本的鑑權需求，同時能夠保持擴展性，可以支持去對接用戶自帶的用戶管理系統或者鑑權系統，包括後面和 K8s 生態以及 Service   Mesh 生態能夠無縫的融合。基於這樣的考慮，目前 Nacos 權限控制的設計是自帶一個基本的實現，然後可以支持用戶擴展。具體的設計如下。模塊設計整體的模塊設計是儘量將鑑權的邏輯抽象出來，不在服務發現模塊或者配置管理模塊添加相關的邏輯。通過配置文件可以選擇當前使用的鑑權系統。Nacos 自帶的認證系統使用 JWT Token ，自帶的鑑權系統使用的是 RBAC 。認證算法對於用戶來說，不管是在控制臺還是在客戶端，都是上傳用戶名和密碼來獲取一個 token ，然後後續的每一次到 Nacos 的請求都會帶上這個 token 來表明身份。這個 token 會有一個失效時間，對於控制臺來說，只需要直接提示用戶重新登錄即可，對於客戶端則需要有一個定期到 Nacos 刷新 token 的邏輯。 Nacos 自帶的鑑權系統使用的是 RBAC 模型，可以在網上查詢相關的資料。數據模型鑑權的數據模型也是基於標準的 RBAC 來設計的，分為用戶、角色和權限三部分。用戶就是由用戶名和密碼組成的用戶信息，角色則是一個邏輯上的用戶組， Nacos 啟動時會自帶一個全局管理員的角色，只有這個全局管理員的角色可以進行添加用戶、添加角色、添加授權等操作，保證安全性。而權限則是由資源+動作來組成。以下接口涉及到登錄和鑑權的所有邏輯，這些接口除了登錄接口，其他接口都只能由全局管理員來調用。用戶管理

創建用戶：POST

/nacos/v1/auth/users?username=xx&password=yy

刪除用戶：DELETE

/nacos/v1/auth/users?username=xx&password=yy

更新用戶：PUT

/nacos/v1/auth/users?username=xx&oldPassword=yy&newPassword=zz

登錄：POST

/nacos/v1/auth/users/login?username=xxx&password=yyy

/nacos/v1/auth/roles?role=xx&username=yy /nacos/v1/auth/roles?role=xx&username=yy /nacos/v1/auth/roles?username=xxx權限管理

給角色添加權限：POST

/nacos/v1/auth/permissions?role=xxx&resource=yyy&action=zzz

從角色刪除權限：DELETE

/nacos/v1/auth/permissions?role=xxx&resource=yyy&action=zzz

獲取某個角色的權限：GET

/nacos/v1/auth/permissions?role=xxx

安裝 Nacos 1.2.0

https://github.com/alibaba/nacos/releases/tag/1.2.0，也可以將 Nacos master 分支 clone 下來進行源碼編譯：

mvn -Prelease-nacos -Dmaven.test.skip=true clean install -U
2、安裝包解壓，然後使用 distribution/nacos-mysql.sql 進行資料庫初始化，主要是新增了 users, roles , permissions三張表，standalone模式使用 distribution/schema.sql 進行初始化。
3、Server 端打開權限控制開關。修改 con/application.properties 內容：
nacos.core.auth.enabled=true
這個開關採用了熱加載模式，無需重啟 Server 即可生效。因此當權限控制功能使用有異常時，可以直接回滾到不鑑權的模式。
使用權限控制

1、使用管理員帳號登錄 Nacos 控制臺（如果頁面提示錯誤，可以情況瀏覽器緩存刷新頁面）：可以看到，左側邊欄增加了一個父菜單和三個子菜單，分別用於權限控制裡的用戶創建、角色創建以及權限管理。這個菜單欄只會在管理員登錄的時候顯示，也就意味著只有管理員才能進行權限的管理和分配。2、管理用戶。點擊「用戶列表」，進入用戶管理頁面，可以進行用戶的創建、修改和刪除：3、管理角色。因為 Nacos 的自帶的權限是基於角色來進行分配的，因此需要給創建好的用戶綁定一些角色：4、管理權限。角色創建好以後，就可以給這個角色賦予特定的權限了：在「添加資源」對話框裡，可以選擇綁定的角色，命名空間資源以及對應的動作類型，例如在上圖中，我們給角色 role1 綁定命名空間test的讀寫權限。然後又因為剛剛我們是將 user1 綁定到了 role1 上，那麼 user1 這個用戶就可以對 test 這個命名空間的資源進行讀寫操作了。5、使用 user1 登錄控制臺。點擊控制臺右上角，退出 admin 帳號，然後用剛才創建的 user1 進行登錄：如上圖所示，首先是左側的權限管理菜單消失了，因為當前用戶不是管理員。其次是會彈出一個鑑權失敗的提示框。不用擔心，這個提示框意思是 user1 沒有 public 命名空間的讀權限，所以會彈出，但是不影響我們將命名空間切換到 test ：如上圖所示，我們可以看到 test 命名空間的配置數據了，下面我們再來介紹客戶端的使用。6、先依賴最新的 nacos 1.2.0 客戶端，然後在初始化時添加如下代碼：
Properties properties = new Properties();properties.put(PropertyKeyConst.NAMESPACE, "99a791cf-41c4-4535-9e93-b0141652bad0");properties.put(PropertyKeyConst.SERVER_ADDR, "127.0.0.1:8848");// 配置用戶名：properties.put(PropertyKeyConst.USERNAME, "user1");// 配置密碼：properties.put(PropertyKeyConst.PASSWORD, "pwd1");ConfigService iconfig = NacosFactory.createConfigService(properties);
我們在招人

阿里巴巴雲原生基礎技術中臺是隸屬於阿里雲基礎產品事業部的核心研發團隊，致力於打造穩定、標準、先進的雲原生應用基礎平臺，推動行業面向雲原生技術升級與革命。目前在招聘技術專家崗位，詳情可參考：http://www.posterhr.com/html/CkgpBwD6f?from=timeline&isappinstalled=0（可以直接投遞，也可以將簡歷直接發送到 water.lyl@alibaba-inc.com）朱鵬飛，GitHub ID：@nkorange，Nacos Maintainer，Nacos 開源負責人。阿里巴巴技術專家，阿里雲 EDAS 註冊中心 ANS 負責人，目前主要專注於服務發現、服務管理等領域。熱文推薦
為我開發的API添加華麗的外衣
技術人的副業之道
RedisTemplate：我不背鍋，是你用錯了
得虧了它，我才把潛藏那麼深的Bug挖出來
驚訝！緩存剛Put再Get居然獲取不到？
好機會，我要幫女同事解決Maven衝突問題
如有收穫，點個在看，誠摯感謝