【MS】springcloud-gateway 中实现服务之间鉴权,只能从网关访问,禁止直接访问服务

最新推荐文章于 2024-05-17 11:25:51 发布
最新推荐文章于 2024-05-17 11:25:51 发布
阅读量3.7w 收藏 65
点赞数 7
分类专栏: MS系列 文章标签: springcloud-gateway
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15273441/article/details/97939084
版权

服务之间鉴权,只能从网关访问,禁止直接访问服务

前言

在开发过程中,网关是一个很重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙

在分布式架构的系统中,每个服务都有自己的一套API提供给别的服务调用,如何保证每个服务相互之间安全调用?

思路

  • 1、所有接口都要通过认证才能访问,有时候又有需求,不需要认证就可以访问。
  • 2、在网关中给所有请求加上一个请求密钥
  • 3、在服务添加过滤器,验证密钥

本文介绍如何限制请求绕过网关,直接访问服务

1、所有服务统一加上过滤器,验证标识头(secretKey)
/**
 * @Description //TODO $全局过滤
 * @Date 21:35
 * @Author yzcheng90@qq.com
 **/
@Slf4j
public class GlobalInterceptor implements HandlerInterceptor {

    @Getter
    @Setter
    private RedisUUID redisUUID;

    @Getter
    @Setter
    private AuthIgnoreConfig authIgnoreConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object obj) throws Exception {
        long exist =  authIgnoreConfig.getIgnoreUrls().stream().filter(url-> url.trim().equals(request.getRequestURI())).count();
        if(exist != 0){
            return true;
        }
        String secretKey = request.getHeader(SecurityConstants.SECRET_KEY);
        if(StrUtil.isNotBlank(secretKey)){
            String key = (String) redisUUID.get(SecurityConstants.SECRET_KEY);
            if(!StrUtil.isBlank(key) && secretKey.equals(key)){
                return true;
            }
        }
        response.setContentType("application/json; charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.write(JSONUtil.toJsonStr(R.error("illegal request")));
        return false;
    }
}
2、让过滤器生效
/**
 * @Description //TODO $
 * @Date 21:46
 * @Author yzcheng90@qq.com
 **/
@Configurable
public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired
    private RedisUUID redisUUID;

    @Autowired
    private WebApplicationContext applicationContext;


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        GlobalInterceptor interceptor = new GlobalInterceptor();
        interceptor.setRedisUUID(redisUUID);
        interceptor.setAuthIgnoreConfig(applicationContext.getBean(AuthIgnoreConfig.class));
        registry.addInterceptor(interceptor).addPathPatterns("/**");
    }
}
3、生成唯一KEY 保存到redis 过期时间根据情况设置,这里设置为5分钟
/**
 * @author czx
 * @title: RedisUUID
 * @projectName ms
 * @description: TODO 配置唯一ID保存到redis
 * @date 2019/7/2614:33
 */
@Component
public class RedisUUID {

    @Autowired
    private RedisTemplate redisTemplate;

    // 过期时间
    private final static long expiration = 1000 * 60 * 5;

    // 过期前1分钟
    private final static long lastTime = 1000 * 60;

    public String create(String key){
        if(StrUtil.isBlank(key)){
            return null;
        }
        String secretKey;
        if(redisTemplate.hasKey(key)){
            if(redisTemplate.boundHashOps(key).getExpire() < lastTime){
                redisTemplate.opsForValue().set(key,SecureUtil.md5(UUID.randomUUID().toString()),expiration,TimeUnit.SECONDS);
            }
            secretKey = (String) redisTemplate.opsForValue().get(key);
        }else{
            secretKey = SecureUtil.md5(UUID.randomUUID().toString());
            redisTemplate.opsForValue().set(key,secretKey,expiration,TimeUnit.SECONDS);
        }
        return secretKey;
    }

    public Object get(String key){
        return redisTemplate.opsForValue().get(key);
    }
}
4、在网关统全局过滤器中设置所有请求都加上 验证标实头
/**
 * @Description //TODO 全局过滤
 * @Date 22:20
 * @Author yzcheng90@qq.com
 **/
@Component
public class RequestGlobalFilter implements GlobalFilter, Ordered {

    @Autowired
    private RedisUUID redisUUID;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String secretKey = redisUUID.create(SecurityConstants.SECRET_KEY);
        ServerHttpRequest request = exchange.getRequest().mutate()
                .headers(httpHeaders -> httpHeaders.remove(SecurityConstants.SECRET_KEY))
                .build();
        ServerHttpRequest newRequest = request.mutate().header(SecurityConstants.SECRET_KEY,secretKey).build();
        return chain.filter(exchange.mutate().request(newRequest.mutate().build()).build());
    }

    @Override
    public int getOrder() {
        return -999;
    }
}

具体代码:传送门 : https://github.com/yzcheng90/ms

yzcheng90
关注
  • 7
    点赞
  • 65
    收藏
    觉得还不错? 一键收藏
  • 24
    评论
专栏目录
网关Gateway 应用实践
m0_61438191的博客
12-02 306
网关概述 网关本质上要提供一个各种服务访问的入口,并提供服务接收并转发所有内外部的客户端调用,还有就是权限认证,限流控制等等。Spring Cloud Gateway是Spring公司基于Spring 5.0,Spring Boot 2.0 和 等技术开发的一个网关组件,它旨在为微服务架构提供一种简单有效的统一的 API入口,负责服务请求路由、组合及协议转换,并且基于 Filter 链的方式提供了权限认证,监控、限流等功能。 Spring Cloud Gateway优缺点分析: 优点: 性能强劲:
gateway确保服务只能通过gateway转发,禁止直接调用接口访问
xiaohuihuiaz的博客
04-16 6620
Spring Cloud Gateway 的目标,不仅提供统一的路由方式,并且基于 Filter 链的方式提供了网关基本的功能,例如:安全,负载均衡和限流. 用户直接访问服务,则失去了gateway的意义. 用户不能直接访问服务,必须在gateway层面进行鉴权后在对服务发起请求.实现对用户的鉴权以及接口的限流.并且可以在gateway层面实现服务的负载均衡. Gateway实现请求统一转发 实现思路: 所有的请求都需要通过gateway进行转发,所以就需要在gateway层面对用户请求添加一个
什么是网关鉴权及其在Spring Cloud Gateway实现
最新发布
新生代码农的博客
05-17 1785
网关鉴权是指在请求到达系统之前对请求进行身份验证和授权的过程。身份验证:验证请求的发起者的身份是否合法,通常涉及用户的认证,确认其身份是否在系统注册并且具有相应的权限。授权:确定请求发起者是否有权限访问所请求的资源,即对请求进行权限验证,保证用户只能访问其有权限的资源。
网关Gateway & SpringCloudGateway
m0_46199937的博客
11-17 296
Gateway 网关的核心功能特性: 请求路由 权限控制 限流 SpringCloud网关实现包括两种:gateway、zuul。 Zuul是基于Servlet的实现,属于阻塞式编程。 SpringCloudGateway则是基于Spring5提供的WebFlux,属于响应式编程的实现,具备更好的性能。 SpringCloudGateway 搭建网关服务 步骤 1、创建module,添加依赖 <!--网关--> <dependency> <groupId&g
SpringCloud确保服务只能通过gateway转发访问禁止直接调用接口访问【转载】
weixin_41464742的博客
02-22 1215
前言 在微服务体系架构网关承担着重要的角色,在网关可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙,所以,在分布式架构,我们需要有一定的防范,来确保各个服务相互之间安全调用。 正文 思路 1、在网关给所有请求加上一个请求密钥 2、在服务添加过滤器,验证密钥 首先在网关服务gateway添加过滤器,给放行的请求头上加上判断 package com.hpsyche.hpsychegatewayserver.filter; impor
SpringCloud确保服务只能通过gateway转发访问禁止直接调用接口访问
xxxcyzyy的博客
01-05 6639
https://blog.csdn.net/Hpsyche/article/details/102926010 前言 在微服务体系架构网关承担着重要的角色,在网关可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙,所以,在分布式架构,我们需要有一定的防范,来确保各个服务相互之间安全调用。 正文 思路 1、在网关给所有请...
让微服务只允许来自网关的请求
小墨鱼的网络博客,不随大流的程序员世界...
09-20 2415
让微服务只允许来自网关的请求 一般各个微服务的请求都是通过网关转发的,但是想要让微服务只允许来自网关的请求,可以操作: 在网关: 添加一个参数systemFrom,值为gateway,一起转发给微服务,微服务只需要判断值是不是gateway即可 @Component public class AuthorizeFilter implements GlobalFilter, Ordered { @Override public Mono<Void> filter(Server
spring-cloud-gateway-server-3.1.1-API文档-文版.zip
05-09
赠送jar包:spring-cloud-gateway-server-3.1.1.jar; 赠送原API文档:spring-cloud-gateway-server-3.1.1-javadoc.jar; 赠送源代码:spring-cloud-gateway-server-3.1.1-sources.jar; 赠送Maven依赖信息文件:...
spring-cloud-gateway-server-3.1.1-API文档-英对照版.zip
05-03
赠送jar包:spring-cloud-gateway-server-3.1.1.jar; 赠送原API文档:spring-cloud-gateway-server-3.1.1-javadoc.jar; 赠送源代码:spring-cloud-gateway-server-3.1.1-sources.jar; 赠送Maven依赖信息文件:...
sentinel-spring-cloud-gateway-adapter-1.8.0-API文档-文版.zip
05-09
赠送jar包:sentinel-spring-cloud-gateway-adapter-1.8.0.jar; 赠送原API文档:sentinel-spring-cloud-gateway-adapter-1.8.0-javadoc.jar; 赠送源代码:sentinel-spring-cloud-gateway-adapter-1.8.0-sources....
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址
09-04
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址 使用方法具体见:https://blog.csdn.net/a1139628523/article/details/132664763
spring-cloud-gateway-server-3.0.4-API文档-文版.zip
06-04
赠送jar包:spring-cloud-gateway-server-3.0.4.jar; 赠送原API文档:spring-cloud-gateway-server-3.0.4-javadoc.jar; 赠送源代码:spring-cloud-gateway-server-3.0.4-sources.jar; 赠送Maven依赖信息文件:...
SpringCloud--gateway 网关
qq_55272229的博客
04-27 2159
springcloud网关组件
gateway自定义过滤器,限制Headers内容访问服务SpringCloud自定义过滤器,阻止浏览器访问
阿韩的经验分享博客
10-19 1299
需求是这样的:服务器接口被恶意访问,越过了前端逻辑来调用后端接口,造成数据异常,现在需要阻止不是我们的前端发过来的请求 1.配置 server 服务路由 @Configuration @Slf4j public class GatewayRoutesConfiguration { @Bean public RouteLocator routeLocator(RouteLocatorBuilder builder) { log.info("ServerGatewayFilter
一文速通 spring-cloud-starter-gateway + redis实现限制IP访问次数已达到限流和防恶意刷请求的效果
Coder_Cola的博客
07-22 924
一文速通 spring-cloud-starter-gateway + redis实现限制IP访问次数已达到限流和防恶意刷请求的效果
最新版微服务架构鉴权解决方案Spring Cloud Gateway + Oauth2.0+mybatis+mysql+redis+nacos 统一认证和鉴权
Dream_it_possible!的博客
04-29 1万+
环境列表 网关服务。以springboot+springcloud+gateway 实现网关服务。 Nacos server注册心。本地或云上的Nacos server。 普通微服务: user-service。需要将user-service注册到Nacos。 Auth2 server 授权服务器。 需要将Auth2 server注册到Nacos。 资源服务器。 将user-service 配置成资源服务器。Oauth2.0原理简介 授权服务器: 给具有权限的资源拥有者对
gateway基本配置
热门推荐
weixin_37672801的博客
01-01 2万+
路由转发 + 执行过滤器链。网关,旨在为微服务架构提供一种简单有效的统一的API路由管理方式。同时,基于Filter链的方式提供了网关的基本功能,比如:鉴权、流量控制、熔断、路径重写、黑白名单、日志监控等。统一入口:暴露出网关地址,作为请求唯一入口,隔离内部微服务,保障了后台服务的安全性鉴权校验:识别每个请求的权限,拒绝不符合要求的请求动态路由:动态的将请求路由到不同的后端集群按生命周期分类。
Gateway--服务网关
m0_58380757的博客
08-21 784
Gateway--服务网关
Spring Cloud之Gateway(四):TLS/SSL、配置、跨域访问配置、执行器API、开发人员指南及MVC或Webflux搭建Gateway
StarskyBoy的博客
12-09 6840
版本:2.0.2.RELEASE 链接:http://spring.io/projects/spring-cloud-gateway#overview   本章主要目录如下: Spring Cloud GatewayTLS/SSL是什么? Spring Cloud Gateway因如何配置? Spring Cloud Gateway跨域访问配置怎么玩? Spring Cloud Ga...
藏经阁-云服务总线微服务网关.pdf
09-09
藏经阁-云服务总线微服务网关.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 24
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值