spring-cloud-gateway网关鉴权总结

最新推荐文章于 2024-05-17 11:25:51 发布
最新推荐文章于 2024-05-17 11:25:51 发布
阅读量4k 收藏 4
点赞数
分类专栏: Java 文章标签: gateway spring-cloud 网关 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AikesLs/article/details/109083920
版权

        最近公司的项目需要和某付宝进行接口对接,需要用到网关进行鉴权操作,并且需要把验证签名的操作也提取到网关层,减少代码的冗余。在开发过程中遇到了主要问题是:

        某付宝的接口虽然是使用post请求,但是参数是挂载在query上(http请求分为三处携带数据 header、query和body),这样的话当请求进入网关层会存在参数加密解密的问题,度娘了一圈没有发现类似情况,莫非只是我的特例嘛?.....然而当鉴权完毕转发到业务层处理时,又会涉及到加密解密的问题,对于参数中的 “=”、“空格”等会被识别为非法字符。

        折腾了好久,最后抱着试一试的态度竟然奇迹的成功了,期间出过各种坚决方案,但基本都是扶起来东墙,西墙又倒了。直接上代码先看下:

import com.alibaba.fastjson.JSON;
import org.reactivestreams.Publisher;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.core.io.buffer.DataBufferFactory;
import org.springframework.core.io.buffer.DataBufferUtils;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.http.server.reactive.ServerHttpResponseDecorator;
import org.springframework.stereotype.Component;
import org.springframework.util.MultiValueMap;
import org.springframework.web.server.ServerWebExchange;
import org.springframework.web.util.UriComponentsBuilder;
import reactor.core.publisher.Flux;
import reactor.core.publisher.Mono;

import java.io.UnsupportedEncodingException;
import java.net.URI;
import java.net.URLEncoder;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;

/**
 * aikes 20201014
 * 网关过滤器
 */
@Component
public class AlipayFilterA implements GlobalFilter, Ordered {

    private static Logger logger = LoggerFactory.getLogger(AlipayFilterA.class);

    @Value("${sign.sign_type}")
    private String sign_type;
    @Value("${sign.app_id}")
    private String app_id;
    @Value("${sign.format}")
    private String format;
    @Value("${sign.charset}")
    private String charset;
    @Value("${sign.PUBLIC_KEY}")
    private String PUBLIC_KEY;
    @Value("${sign.PRIVATE_KEY}")
    private String PRIVATE_KEY;
    @Value("${sign.ALIPAY_PUBLIC_KEY}")
    private String ALIPAY_PUBLIC_KEY;
    @Value("${sign.version}")
    private String VERSION;

    @Override
    public int getOrder() {
        return -20;
    }

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest serverHttpRequest = exchange.getRequest();
        ServerHttpResponse serverHttpResponse = exchange.getResponse();

        StringBuilder logBuilder = new StringBuilder();
        Map<String, String> params = parseRequest(exchange, logBuilder);
        logger.info("请求信息:" + logBuilder);
        Map<String, Object> tResult = checkSignature(params);//参数校验
        if (!(boolean) tResult.get("flag")) {
            logger.info("请求参数有误,访问被拒绝!");
            String resp = JSON.toJSONString(tResult.get("response"));
            logBuilder.append(",resp=").append(resp);
            DataBuffer bodyDataBuffer = serverHttpResponse.bufferFactory().wrap(resp.getBytes());
            serverHttpResponse.getHeaders().add("Content-Type", "text/plain;charset=UTF-8");
            return serverHttpResponse.writeWith(Mono.just(bodyDataBuffer));
        }
        DataBufferFactory bufferFactory = serverHttpResponse.bufferFactory();
        ServerHttpResponseDecorator decoratedResponse = new ServerHttpResponseDecorator(serverHttpResponse) {
            @Override
            public Mono<Void> writeWith(Publisher<? extends DataBuffer> body) {
                if (body instanceof Flux) {
                    Flux<? extends DataBuffer> fluxBody = (Flux<? extends DataBuffer>) body;
                    return super.writeWith(fluxBody.map(dataBuffer -> {
                        byte[] content = new byte[dataBuffer.readableByteCount()];
                        dataBuffer.read(content);
                        DataBufferUtils.release(dataBuffer);
                        String resp = new String(content, Charset.forName("UTF-8"));
                        logBuilder.append(",resp=").append(resp);
                        logger.info(logBuilder.toString());
                        byte[] uppedContent = new String(content, Charset.forName("UTF-8")).getBytes();
                        return bufferFactory.wrap(uppedContent);
                    }));
                }
                return super.writeWith(body);
            }
        };
        // 仅对请求参数加密处理
        URI uri = serverHttpRequest.getURI();
        StringBuilder query = new StringBuilder();
        params.forEach((k, v) -> {
            query.append(k);
            query.append("=");
            try {
                query.append(URLEncoder.encode(v, "UTF-8"));
            } catch (UnsupportedEncodingException e) {
                e.printStackTrace();
            }
            query.append("&");
        });
        // 替换参数
        URI newUri = UriComponentsBuilder.fromUri(uri)
                .replaceQuery(query.substring(0,query.length()-1))
                .build(true)
                .toUri();
        ServerHttpRequest request = exchange.getRequest().mutate().uri(newUri).build();
        return chain.filter(exchange.mutate().request(request).build());
    }

    private Map<String,Object> checkSignature(Map<String, String> params) {
        //做参数校验
        return null;
    }

    private Map<String, String> parseRequest(ServerWebExchange exchange, StringBuilder logBuilder) {
        ServerHttpRequest serverHttpRequest = exchange.getRequest();
        String method = serverHttpRequest.getMethodValue().toUpperCase();
        logBuilder.append(method).append(",").append(serverHttpRequest.getURI());
        MultiValueMap<String, String> query = serverHttpRequest.getQueryParams();
        logger.info("QueryParam 列表:" + JSON.toJSONString(query));
        Map<String, String> params = new HashMap<>();
        query.forEach((k, v) -> {             
            params.put(k, v.get(0));
        });
        return params;
    }
}

        当前版本也只是暂时的解决方案,后续还需要细化打磨。关于过滤器的基本知识和依赖配置等这里就不进行说明了,网上的大佬们有很多详细介绍,我选最核心的部分解释下问题处理思路,也就是下方这块在重写的filter方法中最下面的一段代码。

        // 仅对请求参数加密处理
        URI uri = serverHttpRequest.getURI();
        StringBuilder query = new StringBuilder();
        params.forEach((k, v) -> {
            query.append(k);
            query.append("=");
            try {
                query.append(URLEncoder.encode(v, "UTF-8"));
            } catch (UnsupportedEncodingException e) {
                e.printStackTrace();
            }
            query.append("&");
        });
        // 替换参数
        URI newUri = UriComponentsBuilder.fromUri(uri)
                .replaceQuery(query.substring(0,query.length()-1))
                .build(true)
                .toUri();
        ServerHttpRequest request = exchange.getRequest().mutate().uri(newUri).build();
        return chain.filter(exchange.mutate().request(request).build());

        这段代码的主要作用就是针对http请求中query部分的参数进行加密操作,加密完成后,通过替换参数的方式获取到新的URI对象,然后再将生成的URI对象装载到copy出来的ServerHttpRequest对象中,最后通过过滤器链将请求流转下去。

        后续就会根据网关层的配置进行请求转发到对应的业务处理层的微服务中,匹配到对应的路径方法下,通过@RequestParam Map<String,Object> cMap 即可获取到所有参数(包括query部分和body部分),并且参数都是已经解密过的正常值。

Aikes902
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringCloud:Gateway鉴权
拒绝熬夜啊的博客
11-03 2万+
一、JWT 实现微服务鉴权 JWT一般用于实现单点登录。单点登录:如腾讯下的游戏有很多,包括lol,飞车等,在qq游戏对战平台上登录一次,然后这些不同的平台都可以直接登陆进去了,这就是单点登录的使用场景。JWT就是实现单点登录的一种技术,其他的还有oath2等。 1 什么是微服务鉴权 我们之前已经搭建过了网关,使用网关网关系统中比较适合进行权限校验。 那么我们可以采用JWT的方式来实现鉴权校验。 2.代码实现 思路分析 1. 用户进入网关开始登陆,网关过滤器进行判断,如果是登录,则路由到后台管理微服务
六、SpringCloudGateway+JWT统一认证鉴权
余衫马的博客
06-02 7632
参考springcloud-learning/micro-oauth2
什么是网关鉴权及其在Spring Cloud Gateway中的实现
最新发布
新生代码农的博客
05-17 1705
网关鉴权是指在请求到达系统之前对请求进行身份验证和授权的过程。身份验证验证请求的发起者的身份是否合法,通常涉及用户的认证,确认其身份是否在系统中注册并且具有相应的权限。授权:确定请求发起者是否有权限访问所请求的资源,即对请求进行权限验证,保证用户只能访问其有权限的资源。
Spring Gateway + Oauth2 + Jwt网关统一鉴权
oPeiJie1的博客
04-19 2551
*** @Description 自定义鉴权过滤器工厂:设置访问白名单;重新封装鉴权认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
springcloud-gateway-2-鉴权
Java自学笔记-springBoot微服务
12-23 1689
springCloud-gateway鉴权,GlobalFilter全局过滤器实现通用拦截,用GatewayFilter实现单个服务或指定服务的过滤拦截。
SpringCloud Gateway网关收集请求日志
热门推荐
马明的博客
01-20 1万+
个人博客纯净版 SpringCloud Gateway网关收集请求日志 | 代码搬运工 网关负责服务的转发,所有通过网关转发的服务。都可以通过网关进行收集相关请求日志,具体实现如下: 日志实体类 package com.mk.common.beans; import lombok.*; @Data @Builder @NoArgsConstructor @AllArgsConstructor public class GatewayLog { /**请求来源**/ pri
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址
09-04
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址 使用方法具体见:https://blog.csdn.net/a1139628523/article/details/132664763
spring-cloud.zip
07-30
接下来,Spring Cloud Gateway作为新一代的API网关,它基于Spring Framework 5、Project Reactor和Spring Boot 2构建,提供路由转发、过滤器等功能,简化了API管理和安全控制。在项目中,Gateway可能被用来处理所有...
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE...
springcloud Gateway网关-压测用.zip
07-22
这个名为"springcloud Gateway网关-压测用.zip"的压缩包包含了一个用于性能测试的配置,目的是评估和优化Gateway的处理能力。下面我们将深入探讨SpringCloud Gateway的相关知识点,以及如何使用性能测试工具进行压测...
spring-cloud-gateway.pdf
06-13
本人写过好几套网关,经过差不多一个月的时间,去看了各类资源,然后下载源码,自己写demo,进行分析源码。今分析,希望能帮到大家
SpringCloud Gateway鉴权和跨域解决方案
深圳市多克创新科技有限公司
11-22 1055
SpringCloud gateway鉴权和跨域解决方案
Spring Gateway、Sa-Token、nacos完成认证/鉴权
m88997766的博客
04-03 1915
之前进行鉴权、授权都要写一大堆代码。如果使用像Spring Security这样的框架,又要花好多时间学习,拿过来一用,好多配置项也不知道是干嘛用的,又不想了解。要是不用Spring Security,token的生成、校验、刷新,权限的验证分配,又全要自己写,想想都头大。Spring Security太重而且配置繁琐。自己实现所有的点必须又要顾及到,更是麻烦。最近看到一个权限认证框架,真是够简单高效。这里分享一个使用Sa-Token的gateway鉴权demo。
Spring Cloud之GateWay(跨域,限流,鉴权
m0_46223987的博客
03-31 5049
一、概念 不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求, 如果让客户端直接与各个微服务通信,会有以下的问题: 客户端会多次请求不同的微服务,增加了客户端的复杂性。 存在跨域请求,在一定场景下处理相对复杂。 认证复杂,每个服务都需要独立认证。 难以重构,随着项目的迭代,可能需要重新划分微服务。 例如,可能将多个...
SpringCloud实战十一:Gateway之 Spring Cloud Gateway
zhuyu19911016520
01-15 1万+
1.网关是怎么演化来的 单体应用拆分成多个服务后,对外需要一个统一入口,解耦客户端与内部服务 2.网关的基本功能 网关核心功能是路由转发,因此不要有耗时操作在网关上处理,让请求快速转发到后端服务上 网关还能做统一的熔断、限流、认证、日志监控等 3.关于Spring Cloud Gateway Spring Cloud Gateway是由spring官方基于Spring5.0、Sprin...
GateWay 重写response响应值被截取\乱码问题
weixin_43571793的博客
01-27 2387
在使用SpringCloud Gateway时常常重写response数据结构或者字段值,可能会出现获取到的结果被截取不全,或者修改后的结果输出不全,以下是解决了两种问题案例。 public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { ServerHttpResponse originalResponse = exchange.getResponse();
Gateway全局异常处理及请求响应监控
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
12-11 5630
我们在上一篇文章基于压测进行Feign调优完成的服务间调用的性能调优,此时我们也关注到一个问题,如果我们统一从网关调用服务,但是网关因为某些原因报错或者没有找到服务怎么办呢?如下所示,笔者通过网关调用account服务,但是account服务还没起来。此时请求还没有到达account就报错了,这就意味着我们服务中编写的对网关没有任何作用。了解的默认错误处理,我们就可以改造,返回一个和普通服务一样的格式给前端告知网关报错。从上文我们可知网关默认错误处理时,通过类图我们可以发现它继承了一个。
SpringCloud Gateway + Jwt + Oauth2 实现网关鉴权操作,真是绝了!
程序员闪充宝
08-13 6205
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
Spring Cloud Gateway 修改返回的响应体
咘噜biu的博客
11-24 5779
问题描述: 在gateway中修改返回的响应体,在全局Filter中添加如下代码: import org.springframework.core.Ordered; import org.springframework.cloud.gateway.filter.GlobalFilter; import org.springframework.cloud.gateway.filter.GatewayFilterChain; import org.springframework.stereotype.Com.
spring-cloud-starter-gateway
03-16
spring-cloud-starter-gateway是一个基于Spring Cloud的网关组件,它提供了一种简单的方式来路由请求到不同的微服务。它支持多种路由策略,例如基于路径、基于主机名、基于请求头等。此外,它还提供了一些过滤器,可以在请求到达目标服务之前或之后对请求进行处理。它是构建微服务架构中的重要组件之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aikes902

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值