实战讲解网关接口统一认证SpringCloudGateway(图+文)
创始人
2024-02-06 05:07:31

1 缘起

继gateway限流篇:https://blog.csdn.net/Xin_101/article/details/127890605
之后,继续补充网关统一鉴权的相关应用,
网关作为所有流量入口,承接所有请求,因此,可以在网关层统一做鉴权,
授权的放行,未授权的禁行,这里,可以添加黑白名单的功能,
白名单,无需鉴权,直接放行;
黑名单,直接禁行,
本文,即通过实战讲解网关鉴权以及黑白名单的使用。

2 架构

整体架构如下图所示,
由图可知,该体系共有三部分:
(1)网关层:做统一鉴权,保护后面的服务;
(2)注册中心层:管理所有服务;
(3)服务层:业务或其他功能性服务。
在这里插入图片描述

3 网关配置

网关配置的白名单是针对保护的资源,
当用户访问白名单的资源时,无需鉴权,即直接通过约定,即可获取正确的响应,
访问非白名单的资源时,需要鉴权成功后,才能获取正确的响应,否则,无法获取正确的响应。

3.1 白名单配置

白名单配置有两种方式,
(1)在启动的文件application.yml中配置;
(2)在数据库Redis或MySQL中配置,启动应用时,需要将数据加载到内存(JVM),
如何在SpringBoot启动时加载外部数据到内存参见:https://blog.csdn.net/Xin_101/article/details/127945236;
简单起见,本文直接在配置文件application.yml中配置白名单,
样例如下:

request:white-list:- /api/v1/get/test

3.2 白名单映射的实体

由上面的配置可知,映射的实体中数据类型为List,
白名单实体如下图所示,完整样例在图后面。
在这里插入图片描述

package com.monkey.gateway_template.config;import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;import java.util.List;/*** 请求白名单.** @author xindaqi* @since 2022-11-19 15:23*/
@Component
@ConfigurationProperties("request")
public class RequestWhiteList {/*** 白名单列表*/List whiteList;public List getWhiteList() {return whiteList;}public void setWhiteList(List whiteList) {this.whiteList = whiteList;}
}

3.2 请求链配置

为了使网关具有统一鉴权的功能,就需要在网关服务中添加请求拦截功能,通过实现GlobalFilter接口来拦截请求。
测试样例核心如下图所示,核心部分均有注释,源码在图后面。
这里为了方便测试,在非白名单鉴权时,没有做token校验,只判断是否在请求头中携带token,
实际应用中开发者自定这部分认证逻辑,比如通过Redis、JWT、Oauth2.0等。

在这里插入图片描述

package com.monkey.gateway_template.config;import com.google.gson.Gson;
import com.monkey.gateway_template.response.Response;
import org.apache.http.HttpHeaders;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;import javax.annotation.Resource;
import javax.ws.rs.core.MediaType;
import java.nio.charset.StandardCharsets;
import java.util.List;
import java.util.Objects;/*** 请求拦截器(过滤器).** @author xindaqi* @since 2022-11-19 15:18*/
@Component
public class RequestFilter implements GlobalFilter, Ordered {private static final Logger logger = LoggerFactory.getLogger(RequestFilter.class);private static final String TOKEN = "token";// 获取配置的白名单@ResourceRequestWhiteList requestWhiteList;@Overridepublic Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {// 获取请求的URI,网关配置uri的lb时做了剪裁,所以,直接使用原生接口的URI,无需拼接其他内容String requestPath = exchange.getRequest().getPath().value();// 白名单接口直接放行if (Objects.nonNull(requestWhiteList) && requestWhiteList.getWhiteList().contains(requestPath)) {return chain.filter(exchange);}// 非白名单接口需要鉴权:请求头携带tokenList tokenList = exchange.getRequest().getHeaders().get(TOKEN);// 这里为了方便测试,没有做token校验,只判断是否在请求头中携带token,// 实际应用中开发这自定这部分认证逻辑if (Objects.isNull(tokenList) || tokenList.size() == 0) {Gson gson = new Gson();// 这里开发者可以自定义响应的内容,我自己构建的对象Responsebyte[] data = gson.toJson(Response.invalidToken()).getBytes(StandardCharsets.UTF_8);ServerHttpResponse response = exchange.getResponse();DataBuffer buffer = response.bufferFactory().wrap(data);// 状态码配置:未授权401response.setStatusCode(HttpStatus.UNAUTHORIZED);response.getHeaders().add(HttpHeaders.CONTENT_TYPE, MediaType.APPLICATION_JSON);return response.writeWith(Mono.just(buffer));}return chain.filter(exchange);}@Overridepublic int getOrder() {return Ordered.LOWEST_PRECEDENCE;}
}

4 测试

准备的测试接口如下:
接口由其他服务提供,测试使用的为自建的producer服务,原生接口URI如下表所示

序号状态接口
1白名单接口/api/v1/get/test
2非白名单接口/api/v1/biz/test

producer是通过网关进行访问的,网关和producer均注册到同一个注册中心集群,
所以无需关注producer的IP和PORT,通过网关已经配置,参见gateway限流篇:https://blog.csdn.net/Xin_101/article/details/127890605
所以请求时,通过网关的IP和PORT以及配置的断言Path,这里配置的为producer-server,
所以通过网关请求produer接口时需要添加produer-server前缀。
为了使限流生效,断言Path切不可与服务名相同。

4.1 白名单

白名单接口无需进行授权,直接访问,按照约定数据即可获取正确的数据。
测试结果如下图所示。
在这里插入图片描述

4.2 非白名单

非白名单接口需要进行鉴权,
授权通过后,方可获取正确的结果,如果授权失败,则返回未授权相关信息,
测试结果如下图所示。
在这里插入图片描述

5 小结

  • 白名单配置有两种方式,
    (1)在启动的文件application.yml中配置;
    (2)在数据库Redis或MySQL中配置,启动应用时,需要将数据加载到内存(JVM),
    如何在SpringBoot启动时加载外部数据到内存参见:https://blog.csdn.net/Xin_101/article/details/127945236;
  • 网关拦截请求核心是实现GlobalFilter接口,重写方法filter(ServerWebExchange exchange, GatewayFilterChain chain)。

相关内容

热门资讯

埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...