我在M2公司做架构之对外新系统与鉴权机制

随着业务线的不断扩大,基于一些特别的厂商需求,需要做一个业务系统适配不同厂商的需要。对外新系统不能完全的放开(公网公布,只要知道网址就能访问得到),这就需要一套鉴权机制。鉴权相关的技术选型我在如下几篇文章提到过,就不再多加赘述:
深入理解SaaS之架构篇
我在M2公司做架构之某网与Webservice
我在M2公司做架构之技术选型

鉴权机制所包含的不仅仅是接口的鉴权,还包含系统所处环境的鉴权。
接口的鉴权可基于对应的安全框架如Shiro、Spring Security+OAuth1.0、SpringSecurity+OAuth2.0等。但系统所处环境的鉴权就不是接口鉴权所能涵盖的,系统所处环境的鉴权需要IP限制(仅允许某个Ip段访问)+VPN限制(只有在连接VPN的前提下才能访问)+端口限制(端口的开放仅针对特定的Ip段,而不是0.0.0.0这样的完全放开形式)等三重保障(实际上不仅仅是三重,可能是多重,毕竟黑客攻击无处不在)。

系统所处环境的鉴权是非常有必要的,这个非常有必要不仅仅是指系统部署以后,系统本身的安全鉴权机制(应用级别的安全鉴权机制),也包含整个服务器的安全鉴权机制(系统级别的安全鉴权机制)。关于服务器安全鉴权机制,我曾写过这篇文章服务器安全策略之思考与实践可供大家参考。

文章目录