微服务——网关登录校验实践(二)

最新推荐文章于 2024-09-26 13:04:16 发布
最新推荐文章于 2024-09-26 13:04:16 发布
阅读量933 收藏 17
点赞数 15
分类专栏: 微服务 文章标签: 微服务 运维 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74197695/article/details/142424925
版权

1.网关登录校验

1.4.登录校验案例

利用自定义GlobalFilter来完成登录校验

1.4.1JWT工具

登录校验需要用到JWT,而且JWT的加密需要秘钥和加密工具。

具体作用如下:

  • AuthProperties:配置登录校验需要拦截的路径,因为不是所有的路径都需要登录才能访问

  • JwtProperties:定义与JWT工具有关的属性,比如秘钥文件位置

  • SecurityConfig:工具的自动装配

  • JwtTool:JWT工具,其中包含了校验和解析token的功能

  • hmall.jks:秘钥文件

其中AuthPropertiesJwtProperties所需的属性要在application.yaml中配置:

hm:
  jwt:
    location: classpath:hmall.jks # 秘钥地址
    alias: hmall # 秘钥别名
    password: hmall123 # 秘钥文件密码
    tokenTTL: 30m # 登录有效期
  auth:
    excludePaths: # 无需登录校验的路径
      - /search/**
      - /users/login
      - /items/**

1.4.2.登录校验过滤器

接下来,定义一个登录校验的过滤器:

代码如下:

package com.hmall.gateway.filter;

import com.hmall.common.exception.UnauthorizedException;
import com.hmall.common.utils.CollUtils;
import com.hmall.gateway.config.AuthProperties;
import com.hmall.gateway.util.JwtTool;
import lombok.RequiredArgsConstructor;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.List;

@Component
@RequiredArgsConstructor
@EnableConfigurationProperties(AuthProperties.class)
public class AuthGlobalFilter implements GlobalFilter, Ordered {

    private final JwtTool jwtTool;

    private final AuthProperties authProperties;

    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 1.获取Request
        ServerHttpRequest request = exchange.getRequest();
        // 2.判断是否不需要拦截
        if(isExclude(request.getPath().toString())){
            // 无需拦截,直接放行
            return chain.filter(exchange);
        }
        // 3.获取请求头中的token
        String token = null;
        List<String> headers = request.getHeaders().get("authorization");
        if (!CollUtils.isEmpty(headers)) {
            token = headers.get(0);
        }
        // 4.校验并解析token
        Long userId = null;
        try {
            userId = jwtTool.parseToken(token);
        } catch (UnauthorizedException e) {
            // 如果无效,拦截
            ServerHttpResponse response = exchange.getResponse();
            response.setRawStatusCode(401);
            return response.setComplete();
        }

        // TODO 5.如果有效,传递用户信息
        System.out.println("userId = " + userId);
        // 6.放行
        return chain.filter(exchange);
    }

    private boolean isExclude(String antPath) {
        for (String pathPattern : authProperties.getExcludePaths()) {
            if(antPathMatcher.match(pathPattern, antPath)){
                return true;
            }
        }
        return false;
    }

    @Override
    public int getOrder() {
        return 0;
    }
}

重启测试,会发现访问/items开头的路径,未登录状态下不会被拦截,而访问其他路径则,未登录状态下请求会被拦截,并且返回401状态码:

1.5微服务获取用户

现在,网关已经可以完成登录校验并获取登录用户身份信息。但是当网关将请求转发到微服务时,微服务又该如何获取用户身份呢?

由于网关发送请求到微服务依然采用的是Http请求,因此我们可以将用户信息以请求头的方式传递到下游微服务。然后微服务可以从请求头中获取登录用户信息。考虑到微服务内部可能很多地方都需要用到登录用户信息,因此我们可以利用SpringMVC的拦截器来实现登录用户信息获取,并存入ThreadLocal,方便后续使用。

据图流程图如下:

因此,接下来我们要做的事情有:

  • 改造网关过滤器,在获取用户信息后保存到请求头,转发到下游微服务

  • 编写微服务拦截器,拦截请求获取用户信息,保存到ThreadLocal后放行

1.5.1保存用户到请求头

        在网关的登录校验过滤器中,把获取到的用户写入请求头。首先,我们修改登录校验拦截器的处理逻辑,保存用户信息到请求头中:

1.5.2拦截器获取用户

在hm-common中定义一个用于保存登录用户的ThreadLocal工具,其中已经提供了保存和获取用户的方法:

        接下来,我们只需要编写拦截器,获取用户信息并保存到UserContext,然后放行即可。

        由于每个微服务都有获取登录用户的需求,因此拦截器我们直接写在hm-common中,并写好自动装配。这样微服务只需要引入hm-common就可以直接具备拦截器功能,无需重复编写。我们在hm-common模块下定义一个拦截器:

具体代码如下:

package com.hmall.common.interceptor;

import cn.hutool.core.util.StrUtil;
import com.hmall.common.utils.UserContext;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class UserInfoInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.获取请求头中的用户信息
        String userInfo = request.getHeader("user-info");
        // 2.判断是否为空
        if (StrUtil.isNotBlank(userInfo)) {
            // 不为空,保存到ThreadLocal
                UserContext.setUser(Long.valueOf(userInfo));
        }
        // 3.放行
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 移除用户
        UserContext.removeUser();
    }
}

接着在hm-common模块下编写SpringMVC的配置类,配置登录拦截器:

具体代码如下:

package com.hmall.common.config;

import com.hmall.common.interceptors.UserInfoInterceptor;
import org.springframework.boot.autoconfigure.condition.ConditionalOnClass;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.DispatcherServlet;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
@ConditionalOnClass(DispatcherServlet.class)
public class MvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new UserInfoInterceptor());
    }
}

不过,需要注意的是,这个配置类默认是不会生效的,因为它所在的包是com.hmall.common.config,与其它微服务的扫描包不一致,无法被扫描到,因此无法生效。

基于SpringBoot的自动装配原理,我们要将其添加到resources目录下的META-INF/spring.factories文件中:

内容如下:

org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
  com.hmall.common.config.MyBatisConfig,\
  com.hmall.common.config.MvcConfig

1.6OpenFeign传递用户

        前端发起的请求都会经过网关再到微服务,由于我们之前编写的过滤器和拦截器功能,微服务可以轻松获取登录用户信息。但有些业务是比较复杂的,请求到达微服务后还需要调用其它多个微服务。比如下单业务,流程如下:

        由于微服务获取用户信息是通过拦截器在请求头中读取,因此要想实现微服务之间的用户信息传递,就必须在微服务发起调用时把用户信息存入请求头

        微服务之间调用是基于OpenFeign来实现的,并不是我们自己发送的请求。我们如何才能让每一个由OpenFeign发起的请求自动携带登录用户信息呢?

这里要借助Feign中提供的一个拦截器接口:feign.RequestInterceptor

public interface RequestInterceptor {

  /**
   * Called for every request. 
   * Add data using methods on the supplied {@link RequestTemplate}.
   */
  void apply(RequestTemplate template);
}

        我们只需要实现这个接口,然后实现apply方法,利用RequestTemplate类来添加请求头,将用户信息保存到请求头中。这样以来,每次OpenFeign发起请求的时候都会调用该方法,传递用户信息。

由于FeignClient全部都是在hm-api模块,因此我们在hm-api模块的com.hmall.api.config.DefaultFeignConfig中编写这个拦截器,添加一个Bean:

@Bean
public RequestInterceptor userInfoRequestInterceptor(){
    return new RequestInterceptor() {
        @Override
        public void apply(RequestTemplate template) {
            // 获取登录用户
            Long userId = UserContext.getUser();
            if(userId == null) {
                // 如果为空则直接跳过
                return;
            }
            // 如果不为空则放入请求头中,传递给下游微服务
            template.header("user-info", userId.toString());
        }
    };
}

现在微服务之间通过OpenFeign调用时也会传递登录用户信息了。

A仔不会笑
关注
专栏目录
微服务——网关登录校验(一)
m0_74197695的博客
09-21 1070
无论是还是都支持自定义,只不过编码方式、使用方式略有差别。自定义不是直接实现,而是实现。@Component@Override@Override// 获取请求// 编写过滤器逻辑System.out.println("过滤器执行了");// 放行注意:该类的名称一定要以GetwayFilterFactory为后缀。spring:cloud:gateway:- PrintAny # 此处直接以自定义的GatewayFilterFactory类名称前缀类声明过滤器。
微服务——网关路由(Spring Cloud Gateway)
m0_74197695的博客
09-13 1087
网关又称网间连接器、协议转换器,是在网络层以上实现网络互连的复杂设备,主要用于两个高层协议不同的网络之间的互连。网关就是络的口。数据在网络间传输,从一个网络传输到另一网络时就需要经过网关来做数据的。而微服务网关起到同样的作用。前端请求不能直接访问微服务,而是要请求网关网关可以做安全控制,也就是登录身份校验校验通过才放行通过认证后,网关再根据请求判断应该访问哪个微服务,将请求转发过去在SpringCloud当中,提供了两种网关实现方案:Netflix Zuul:早期实现,目前已经淘汰。
构建完善微服务——API 网关
qq_39403646的博客
04-21 976
另一方面异步模型没有一个明确清晰的请求->处理->响应执行流程(call flow),它的流程是通过事件触发的,请求处理的流程随时可能被切换断开,内部实现要通过一些关联id机制才能把整个执行流再串联起来,这就给开发调试运维引入了很多复杂性,比如你在IDE里头调试异步请求流就非常困难。通常API网指的是业务网关。与流量网关相对应的就是业务网关,业务网关更靠近我们的业务,也就是与服务器应用层打交道,那么有很多应用层需要考虑的事情就可以依托业务网关,例如在线程模型、协议适配、熔断限流,服务编排等。
微服务】——Gateway服务网关
qq_53207874的博客
05-06 1059
3.1.为什么需要网关3.2.gateway快速入门1)创建gateway服务,引入依赖2)编写启动类3)编写基础配置和路由规则4)重启测试5)网关路由的流程图3.3.断言工厂3.4.过滤器工厂3.4.1.路由过滤器的种类3.4.2.请求头过滤器3.4.3.默认过滤器3.4.4.总结3.5.全局过滤器3.5.1.全局过滤器作用3.5.2.自定义全局过滤器3.5.3.过滤器执行顺序3.6.跨域问题3.6.1.什么是跨域问题3.6.2.模拟跨域问题3.6.3.解决跨域问题。
微服务网关——设计篇
热门推荐
一个天秤座的架构师
11-07 2万+
在《微服务网关——需求篇》中,我们讨论了微服务网关的需求,本文将对微服务网关进行设计。考虑到实际情况的差异,这里实际给出的是设计选项,最终设计基于实际场景来确定。 网关功能性设计 路由 一般情况下,服务对外提供的是RESTful接口,所以一般路由模块根据请求的host, url等规则转发到指定的服务。 考虑到路由规则需要频繁的修改发布,为了发布的便利性,考虑针对规则实现热发布。有几种实现方式: 基于数据库 即将路由规则配置到数据库中,当网关收到请求后,从数据库中查询规则进行规则匹配。根据匹配到的
微服务——单点登录系统
Pigeon
11-01 527
1. 背景 多点登录,访问每个服务都需要重新登陆 2. 概念 登录一个站点后可以免登录其他站点 3. 准备工作 3.1 项目结构 3.2 执行sql脚本 3.3 数据库表结构 3.4 sso-system子工程的依赖 <dependencies> <!--1.数据库访问相关--> <!--1.1 mysql 数据库驱动--> <dependency> <groupI
【Java】微服务——Gateway网关
qq_59708493的博客
10-07 3309
过滤器的作用是什么?① 对路由的请求或响应做加工处理,比如添加请求头② 配置在路由下的过滤器只对当前路由的请求生效defaultFilters的作用是什么?① 对所有路由都生效的过滤器需求:定义全局过滤器,拦截请求,判断请求的参数是否满足下面条件:参数中是否有authorization,authorization参数值是否为admin如果同时满足则放行,否则拦截实现:import org。
【SpringCloud Gateway】SpringCloud各微服务之间用户登录信息共享的实现思路——gateway网关token校验以及向微服务发送请求携带token
zxy2361380031的博客
10-14 3769
SpringCloud各微服务之间用户登录信息共享的实现思路。 gateway网关token校验以及向微服务发送请求携带token。
微服务网关
chinusyan的专栏
12-13 1万+
1 微服务网关的概述 不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题: 客户端会多次请求不同的微服务,增加了客户端的复杂性 存在跨域请求,在一定场景下处理相对复杂 认证复杂,每个服务都需要独立认证 难以重构,随着项目的迭代,可能需要重新划分微服务。例如,可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信,那么重构将会很难实施 某些微服务可能使用了防火墙 / 浏览器不友好的协议,直接访
微服务架构中的API网关——一个微服务架构设计模式
AI天才研究院
07-30 1164
随着互联网的蓬勃发展,应用服务的数量也在日益增加。每年新增的应用服务如今已经超过了百万级。由于这些应用服务的规模化带来的复杂性,部署运维等繁琐程度越来越高。对于大型系统而言,如何有效地管理、监控、维护这些复杂的分布式应用服务成为系统管理员的一项重要工作。基于此,一些分布式应用服务框架和中间件被提出。其中包括负载均衡、服务发现、熔断降级、认证鉴权、协议转换、请求调度、流量控制等技术,但这些技术并不能解决所有场景下的应用服务管理难题,并且往往会引入不必要的复杂性。
微服务与中间件——GateWay网关
qq_51553982的博客
08-25 972
SpringCloudGateway则是 基于Spring5中提供的WebFlux,属于响应 式编程的实现,具备更好的性能该项目依赖nacos+feign,这两个配好是前提条件,若有问题请查看:微服务与中间件系列——Feign注意一定要加上loadBalanced依赖,因为新版本中已经去除了Ribbon的负载所以我们要引入 否则会有报错提示 3.修改yaml 4.启动类加上注解 GateWay的流程 网关路由可以配置的内容包括:我们在配置文件中写的断言规则只是字符串,这些字符串会被Predicate Fa
SpringCloud微服务网关技术——Gateway网关的使用
DreamsArchitects的博客
11-13 1224
文章目录一、介绍 一、介绍 实现微服务网关的技术有很多, nginx Nginx(enginex)是一个高性能的HTTP和反向代理web服务器,同时也提供 了IMAP/POP3/SMTP服务 zuul ,Zuul 是 Netflix 出品的一个基于 JVM 路由和服务端的负载均衡器。 spring-cloud-gateway, 是spring 出品的 基于spring 的网关项目,集成断路器,路径重写,性能比Zuul好。 我们使用gateway这个网关技术,无缝衔接到基于spring cloud的微服务开发
一文吃透何为微服务网关、服务发现/注册
m0_69305074的博客
10-06 610
Web应用程序发展的早期,大部分web工程是将所有的功能模块(service side)打包到一起并放在一个web容器中运行,很多企业的Java应用程序打包为war包。比如构建一个在线商店系统:客户下订单、核对清单和信用卡额度,并将货物运输给客户。可能会构造出如下图所示的系统:单体架构这种将所有功能都部署在一个web容器中运行的系统就叫做单体架构(也叫:巨石型应用)。
乐优商城:笔记(十三):鉴权微服务——鉴权
dianemax
06-06 1029
文章目录1 配置公钥2 引入依赖3 编写属性类4 编写过滤器逻辑5 白名单6 可优化的点7 常见问题       接上一篇鉴权微服务——授权,我们只完成了登录授权功能,鉴权功能还没实现,有很多的微服务必须登陆了才能访问,未登录状态下是无法访问的,与其在各个微服务中编写校验逻辑,还不如在网关Zuul中编写,反正所有请求都会经过Zuul,如果...
【深入理解SpringCloud微服务】了解微服务的熔断、限流、降级,手写实现一个微服务熔断限流器
weixin_43889578的博客
09-21 1400
我们通过SpringAOP扫描被@Protected注解修饰的方法,给它们生成代理对象,并且通过SpringAOP的@Around注解定义了环绕增强逻辑,当请求被@Protected注解修饰的接口方法接收时,就会进入这里的增强逻辑,增强逻辑做的自然就是熔断、限流、降级等这些事情。当调用一个接口方法时,如果被流控,或者断路器处于打开状态,或者执行目标方法时超时或抛出异常,并且接口设置了降级回调,那么执行对应Fallback实现类的降级处理方法。限流也叫流控,也就是流量控制,作用是限制流入服务接口的流量大小。
微服务-- Gateway服务网关
m0_74293254的博客
09-26 1256
过滤器的作用是什么?对路由的请求或响应进行加工处理,例如添加请求头。配置在特定路由下的过滤器仅对该路由的请求生效。default-filters 的作用是什么?default-filters 中的过滤器会对所有路由生效。需求参数中是否有authorizationauthorization参数值是否为admin如果满足这两个条件,则放行;否则拦截请求。实现@Order(-1)@Component@Override// 1.获取请求参数。
微服务Redis解析部署使用全流程
m0_71240584的博客
09-26 1130
/判断是否有key所对应的值,有则返回true,没有则返回false//有则取出key值所对应的值//删除单个key值//其中keys:Collection keys//将当前传入的key值序列化为byte[]类型//设置过期时间//设置过期时间//查找匹配的key值,返回一个Set集合类型//返回传入key所存储的值的类型//如果旧值存在时,将旧值改为新值//从redis中随机取出一个key//返回当前key所对应的剩余过期时间。
微服务即时通讯系统】——brpc远程过程调用、百度开源的RPC框架、brpc的介绍、brpc的安装、brpc使用和功能测试
最新发布
Crocodile1006的博客
09-26 1019
brpc、brpc的介绍、rpc的介绍、rpc的原理、grpc和brpc、brpc的安装、brpc使用、brpc接口介绍、brpc使用测试、brpc同步和异步调用
python 微服务 网关_建设微服务API网关的一些实践
06-09
建设微服务API网关微服务架构中重要的一环,它可以帮助我们将多个微服务组合成一个整体,提供更好的用户体验和更高的性能。以下是一些实践,可以帮助您建设微服务API网关: 1. 选择一个适合您的API网关:目前市场上有很多不同的API网关,如Kong、Apigee、Zuul等。您需要根据您的需求和团队的技术水平选择一个适合您的API网关。 2. 定义API网关的功能:API网关的功能包括路由、负载均衡、安全性、监控和日志记录等。您需要根据您的需求定义API网关的功能,以便您可以选择适合您的API网关。 3. 定义API网关的API:您需要定义API网关的API,以便您的开发团队可以使用它们。您需要考虑API的版本控制、文档和测试等。 4. 集成微服务:您需要将您的微服务集成到API网关中。您需要考虑微服务的版本控制、文档和测试等。 5. 确保安全性:您需要确保API网关的安全性,包括身份验证和访问控制等。您可以使用OAuth、JWT等技术来实现安全性。 6. 监控和日志记录:您需要监控和日志记录API网关的性能和错误。您可以使用ELK、Prometheus等工具来实现监控和日志记录。 7. 测试和部署:您需要测试和部署API网关。您可以使用CI/CD工具来自动化测试和部署过程。 总之,建设微服务API网关需要您考虑多个方面,如选择适合您的API网关、定义API网关的功能和API、集成微服务、确保安全性、监控和日志记录、测试和部署等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值