- 产品简介
- 产品定价
- 快速入门
- 权限管理
- 运维管理
- 中间件
- 概述
- SOFABoot
- 微服务平台
- 消息队列
- 任务调度
- 分布式链路跟踪
- 数据访问代理
- 数据同步服务
- 分布式事务
- 研发效能
- 组件中心
- API 参考
- 微服务平台
- 微服务
- API 概览
- AddMsConfigAttributes
- DeleteMsConfigAttributes
- GetMsConfigAttributes
- QueryMsConfigAttributes
- UpdateMsConfigAttributes
- QueryMsConfigClients
- QueryMsConfigClientValues
- PushMsConfigData
- QueryMsConfigData
- GrayPushMsConfigData
- AddMsConfigResources
- DeleteMsConfigResources
- GetMsConfigResources
- QueryMsConfigResources
- UpdateMsConfigResources
- 微服务
- 消息队列
- 微服务平台
- 最佳实践
- 常见问题
- 相关协议
- 单元化入门指南(专有云)
- 通用参考
全部产品
弹性计算
存储服务
数据库
- PolarDB MySQL 云原生数据库
- PolarDB-O 云原生数据库
- PolarDB Postgresql 云原生数据库
- PolarDB-X 云原生分布式数据库
- 云数据库 RDS
- 云数据库专属集群
- 云数据库 Redis
- 云数据库 MongoDB
- 时序时空数据库 TSDB
- 云数据库 HBase
- 云数据库 Cassandra
- 云原生数据仓库 AnalyticDB MySQL 版
- 云原生数据仓库 AnalyticDB PostgreSQL 版
- 云数据库 ClickHouse
- 数据湖分析 DLA
- 数据管理 DMS
- 数据库自治服务 DAS
- 数据库备份 DBS
- 数据传输服务 DTS
- 数据库和应用迁移服务 ADAM
- 云数据库 OceanBase
- 图数据库 GDB
- 数据库网关 DG
- 数据库专家服务
- 可信账本数据库 LedgerDB
- 云数据库 Memcache
- HybridDB for MySQL
网络
应用服务
互联网中间件
移动研发平台EMAS-专有云
安全
大数据
人工智能
物联网
物联网行业方案
云市场
API与工具
- 金融分布式架构SOFAStack >
- 中间件 >
- 微服务平台 >
- 服务网格 >
- 服务鉴权
服务提供者提供服务后,通过 服务鉴权 功能,对服务调用方进行鉴权,主要用于鉴定哪些服务调用者有权限调用所提供的服务。
功能说明
白名单与黑名单
- 白名单
- 启用白名单后,白名单下所有已创建的规则都将生效,只有满足白名单规则的请求才可以访问。
- 属于高危操作,会造成不满足规则的请求被拒绝:请先确认所有规则正确,不需要的规则删除后,再启用白名单。
- 黑名单
- 启用黑名单后,黑名单下所有已创建的规则都将生效,满足黑名单规则的请求都将被拒绝。
- 属于高危操作:请先确认所有规则正确,不需要的规则删除后,再启用黑名单。
- 白名单和黑名单互斥:
- 在启用白名单时,需先禁用黑名单;在启用黑名单时,需先禁用白名单。
- 通过服务拓扑或其它监控,发现有未知应用在调用接口,可以建立规则,将其放入黑名单。
- 对可信度较高应用,可通过规则,将其放入白名单。
访问控制规则
- 支持添加多条鉴权规则:多条规则之间是 或 的关系。
- 每条规则支持多个匹配条件:每条规则的多个匹配条件之间是 与 的关系。
操作步骤
前置条件
- 服务网格服务鉴权功能支持 SOFARPC、Dubbo、Spring Cloud 三种框架。其中,Dubbo 和 Spring Cloud 需要确保引入的
sofa-registry-cloud-all依赖版本为 1.2.8 及以上,详见 SDK 版本说明。 - 在使用容器应用服务发布应用时,应用名称必须与本地应用注册代码配置的
spring.application.name一致。
添加访问控制规则
- 在 微服务平台 > 服务网格 > 服务管控 页面,点击自己的 服务 ID,进入 服务详情 页面。
- 选择 服务鉴权 标签,进入 访问控制 页面。
- 选择白名单或黑名单访问控制,点击 开始创建,即可开始配置访问控制规则:
- 规则名:支持汉字、英文、数字和下划线。
- 模式:变更模式需要更新规则才能生效。
- 严格模式:拒绝请求。
- 非严格模式:不拒绝请求,只打印日志。
- 匹配条件:通过添加字段及字段间关系,实现条件匹配。
- 选择 字段类型 与 字段名:
- 系统字段:调用方应用名、调用方 IP、服务方应用名、服务方服务名、服务方方法名。
- 选择 逻辑关系:等于、不等于、属于、不属于、正则(使用正则表达式匹配)。
- 输入待匹配的 字段值。
- 选择 字段类型 与 字段名:
- 点击 保存。
查看服务鉴权日志
可以前往 mosn-sidecar-container 容器查看服务鉴权日志:/home/admin/logs/mosn/rbac.log。
相关文档
相关产品
-
金融分布式架构SOFAStack
SOFAStack™(Scalable Open Financial Architecture Stack)包含构建金融级云原生架构所需的各个组件,也是在金融场景里锤炼出来的最佳实践。提供微服务应用开发、部署发布、监控运维、项目管理、容灾高可用等全栈式解决方案,并兼容Dubbo、Spring Cloud等微服务运行环境,提供基于虚拟机的经典PaaS运维和基于Kubernetes的云原生运维能力,助力客户各类应用轻松转型分布式和云原生架构。
-
移动开发平台mPaaS
移动开发平台(Mobile PaaS,简称 mPaaS)是源于支付宝 App 的移动开发平台,为移动开发、测试、运营及运维提供云到端的一站式解决方案,能有效降低技术门槛、减少研发成本、提升开发效率,协助企业快速搭建稳定高质量的移动 App。
-
容器服务Kubernetes版
容器服务Kubernetes版(Container Service for Kubernetes)提供高性能可伸缩的容器应用管理服务,支持企业级Kubernetes容器化应用的生命周期管理。
以上内容是否对您有帮助?
感谢您的打分,是否有意见建议想告诉我们?
感谢您的反馈,反馈我们已经收到
文档反馈
文档反馈
在文档使用中是否遇到以下问题
更多建议
匿名提交