SpringCloud07—API网关服务：Spring Cloud Zuul

org.springframework.boot

spring-boot-starter-web

org.springframework.boot

spring-boot-starter-test

test

org.springframework.cloud

spring-cloud-starter-netflix-eureka-client

org.springframework.cloud

spring-cloud-starter-netflix-zuul

2.2.9.RELEASE

spring-cloud-starter-netflix-zuul依赖，可以通过查看它的依赖内容了解到:

该模块中不仅包含了Netflix Zuul的核心依赖zuul-core，它还包含了下面这些网关服务需要的重要依赖。

• spring-cloud-starter-hystrix: 该依赖用来在网关服务中实现对微服务转发时候的保护机制，通过线程隔离和断路器，防止微服务的故障引发API网关资源无法释放，从而影响其他应用的对外服务。

• spring-cloud-starter-ribbon: 该依赖用来实现在网关服务进行路由转发时候的客户端负载均衡以及请求重试。

• spring-boot-starter-actuator: 该依赖用来提供常规的微服务管理端点。另外，在Spring Cloud Zuul中还特别提供了/routes端点来返回当前的所有路由规则。

2.在主应用类上添加注解

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

import org.springframework.cloud.netflix.zuul.EnableZuulProxy;

@SpringBootApplication

@EnableZuulProxy

@EnableEurekaClient

public class ApiGatewayApplication {

public static void main(String[] args) {

SpringApplication.run(ApiGatewayApplication.class, args);

}

}

使用@EnablezuulProxy注解开启Zuul的API 网关服务功能

3.在application.properties中配置Zuul应用的基础信息

如应用名、服务端口号等，具体内容如下:

server.port=5555

spring.application.name=api-getway

注册服务的时候使用服务的ip地址

eureka.instance.prefer-ip-address=false

eureka.client.service-url.defaultZone=http://peer1:1111/eureka/,http://peer2:1112/eureka/

前缀，用来做版本控制

zuul.prefix=/v1

禁用默认路由，执行配置路由

zuul.ignored-services=“*”

7.2.2 请求路由

在application.properties添加以下配置就可以实现传统的路由转发功能

配置hello-service的服务路由

zuul.routes.api-a.path=/api-a/**

zuul.routes.api-a.service-id=hello-service

feign-consumer的服务路由

zuul.routes.api-b.path=/api-b/**

zuul.routes.api-b.service-id=feign-consumer

下面我大致解释一下以上代码的意思

• http://localhost:5555/api-a/hello: 该url符合/api-a/**规则，由api-a路由负责转发，该路由映射的serviceld为hello-service，所以最终/hello 请求会被发送到hello-service服务的某个实例上去，也就是对应的/hello接口

• http:/ /localhost:5555/api-b/feign-consumer: 该url符合/api-b/**规则，由api-b路由负责转发，该路由映射的serviceId为feign-consumer,所以最终/feign-consumer请求会被发送到feign-consumer服务的某个实例上去。

7.3 请求过滤

---

在实现了请求路由功能之后，我们的微服务应用提供的接口就可以通过统一的API网关入口被客户端访问到了。

但是，每个客户端用户请求微服务应用提供的接口时，它们的访问权限往往都有一定的限制，系统并不会将所有的微服务接口都对它们开放。然而，目前的服务路由并没有限制权限这样的功能，所有请求都会被毫无保留地转发到具体的应用并返回结果，为了实现对客户端请求的安全校验和权限控制，最简单和粗暴的方法就是为每个微服务应用都实现一套用于校验签名和鉴别权限的过滤器或拦截器。不过，这样的做法并不可取，它会增加日后系统的维护难度，因为同一个系统中的各种校验逻辑很多情况下都是大致相同或类似的，这样的实现方式会使得相似的校验逻辑代码被分散到了各个微服务中去，冗余代码的出现是我们不希望看到的。所以，比较好的做法是将这些校验逻辑剥离出去，构建出一个独立的鉴权服务。在完成了剥离之后，有不少开发者会直接在微服务应用中通过调用鉴权服务来实现校验,但是这样的做法仅仅只是解决了鉴权逻辑的分离,并没有在本质上将这部分不属于冗余的逻辑从原有的微服务应用中拆分出，冗余的拦截器或过滤器依然会存在。

对于这样的问题，更好的做法是通过前置的网关服务来完成这些非业务性质的校验。由于网关服务的加入，外部客户端访问我们的系统已经有了统一入口，既然这些校验与具体业务无关，那何不在请求到达的时候就完成校验和过滤，而不是转发后再过滤而导致更长的请求延迟。同时，通过在网关中完成校验和过滤，微服务应用端就可以去除各种复杂的过滤器和拦截器了，这使得微服务应用接口的开发和测试复杂度也得到了相应降低。

为了在API网关中实现对客户端请求的校验，我们将继续介绍Spring Cloud Zuul的另外一个核心功能:请求过滤。

Zuul 允许开发者在API网关上通过定义过滤器来实现对请求的拦截与过滤，实现的方法非常简单，我们只需要继承ZuulFilter抽象类并实现它定义的4个抽象函数就可以完成对请求的拦截和过滤了

下面的代码定义了一个简单的Zuul过滤器，它实现了在请求被路由之前检查HttpServletRequest中是否有accessToken参数，若有就进行路由，若没有就拒绝访问，返回401 Unauthorized错误。

import com.netflix.zuul.ZuulFilter;

import com.netflix.zuul.context.RequestContext;

import com.netflix.zuul.exception.ZuulException;

import javax.servlet.http.HttpServletRequest;

@Component

public class AccessFilter extends ZuulFilter {

private final String tokenSign = “accessToken”;

private static Logger