请教大佬们，微服务中多系统统一权限怎么设计

之前全部是单体应用，现在想改成微服务架构了。

比如现在有 ERP，MES，OMS 这几个系统需要整合，但是每个系统权限控制都不一样，有的可能需要需要分企业账号和个人账号，权限分配给企业管理，每个企业有自己的权限控制。有的系统就只需要一个系统管理员做所有控制。

之前都是自己的系统负责自己的权限控制，现在想做统一权限没经验，所以想请教下大佬们都是怎么做的。

leonme

2021-09-17 08:30:50 +08:00

这个是强业务相关，没人能给你答案啊……除非梳理出一张大而全的现有权限列表

qwerthhusn

2021-09-17 08:34:05 +08:00

在网关弄一个 RBAC 权限模型

用户的请求经过网关的时候，根据 URL 直接判断用户有没有权限

nong99

2021-09-17 08:37:40 +08:00

最近也想自己折腾下，不过是侧重实验微前端的。请问您们这边有使用到微前端吗？有什么推荐方案吗？谢谢哈（个人实验玩，没有上过真实项目）

JamChiu

2021-09-17 09:01:33 +08:00

账号 1:N 子系统 1:N 角色 1:N 权限

这样应该就可以了，多一层子系统而已

thtznet

2021-09-17 09:03:49 +08:00

ERP 、MES 、OMS，你这个不像微服务，最多可以拆成 SOA 吧。微服务不是应该打碎所有系统模块，将每个服务独立出来，我的理解是，例如 [基础数据-物料] 应该是一个独立服务，ERP 模块、MES 模块、OMS 模块都可以访问这个服务，同样的，模块的组织形式就不在后端了，而是由前端根据业务形态组织起来，在后端看上去，就没有什么 ERP 模块、MES 模块的组织形式了。

litchinn

2021-09-17 09:48:11 +08:00

目前从你的描述来看感觉就是个普遍的权限控制，通过组织机构可以控制数据权限，比如企业和个人，通过角色可以控制用户对各个模块和方法的访问

masterclock

2021-09-17 09:55:16 +08:00

OpenPolicyAgent
https://www.openpolicyagent.org/

nicholasxuu

2021-09-17 10:25:07 +08:00

k8s+envoy 的话，envoy 的 ext_authz 可以提供统一鉴权的功能，比如通过 rpc 服务，把 jwt token 解密后，把用户权限信息放到 header 里给服务使用。
https://www.envoyproxy.io/docs/envoy/latest/api-v3/extensions/filters/http/ext_authz/v3/ext_authz.proto

nicholasxuu

2021-09-17 10:26:39 +08:00

不然就是在微服务的共享框架代码里，添加调用鉴权服务的中间件。让每个微服务都可以方便的使用。

MasterMonkey

2021-09-17 11:34:47 +08:00

OAUTH2/OIDC/API Manager 了解下？我最近也在了解这个

swcat

2021-09-17 14:22:48 +08:00

user role user_role permission
其他的就是在这个基础上扩展

使用的话, 最终形态就是 user->can()

然后权限控制可以写在 nginx 那一层, 有权限的放, 没权限的禁止, 再细致的数据权限, 需要在代码里面处理

initdada

2021-09-17 17:36:57 +08:00

SAAS,单独做个统一管理授权系统，然后下发子系统权限就好了

kiddingU

2021-09-17 17:43:11 +08:00

网关入口做鉴权呗，微服务只做具体业务

liian2019

2021-09-18 12:41:53 +08:00

搞一个授权网关

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/802442

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.