Spring Cloud Gateway源码解析-10-自定义Predicate实现黑名单

最新推荐文章于 2024-01-16 14:26:38 发布
最新推荐文章于 2024-01-16 14:26:38 发布
阅读量1.3k 收藏 8
点赞数 2
分类专栏: Spring Cloud Gateway源码解析 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43295093/article/details/115372168
版权

系列文章

创作不易,如果对您有帮助,麻烦辛苦下小手点个关注,有任何问题都可以私信交流哈。
祝您虎年虎虎生威。

自定义Predicate

思路

SCG初始化解析中我们已经知道了Predicate是怎么根据我们的配置装配的。
RemoteAddrRoutePredicateFactory为例。

public class RemoteAddrRoutePredicateFactory
		extends AbstractRoutePredicateFactory<RemoteAddrRoutePredicateFactory.Config>

RemoteAddrRoutePredicateFactory继承了抽象类AbstractRoutePredicateFactory,泛型为内部类Config

	@Override
	public ShortcutType shortcutType() {
		return GATHER_LIST;
	}

	@Override
	public List<String> shortcutFieldOrder() {
		return Collections.singletonList("sources");
	}

重写shortcutTypeshortcutFieldOrder方法,这两个方法主要是用来定义Config的配置及生成方式,具体细节不再深叙,个人认为SCG的ShortcutType设计的很不好理解。

@Override
public Predicate<ServerWebExchange> apply(Config config) {

	return new GatewayPredicate() {
		@Override
		public boolean test(ServerWebExchange exchange) {
			return false;
		}
	};
}

实现apply方法,内部创建GatewayPredicate匿名内部类。

public static class Config {

		@NotEmpty
		private List<String> sources = new ArrayList<>();

		@NotNull
		private RemoteAddressResolver remoteAddressResolver = new RemoteAddressResolver() {
		};

		public List<String> getSources() {
			return sources;
		}

		public Config setSources(List<String> sources) {
			this.sources = sources;
			return this;
		}

		public Config setSources(String... sources) {
			this.sources = Arrays.asList(sources);
			return this;
		}

		public Config setRemoteAddressResolver(
				RemoteAddressResolver remoteAddressResolver) {
			this.remoteAddressResolver = remoteAddressResolver;
			return this;
		}

	}

根据Predicate功能定义内部类Config。


综上所述总结自定义Predicate要做的事情有如下几点:

  1. 类名称,以XXX开头,RoutePredicateFactory结尾。
  2. 定义内部Config类,内部定义Predicate所需配置。
  3. 继承了抽象类AbstractRoutePredicateFactory,泛型为内部类Config
  4. 重写shortcutTypeshortcutFieldOrder方法
  5. 实现apply方法,内部创建GatewayPredicate匿名内部类。

自定义黑名单Predicate

实现

实现黑名单可以通过配置的IP或者IP段进行限制。当请求进入时,获取到当前请求的客户端的IP,判断是否与配置的黑名单匹配,匹配返回false即可。


具体的实现逻辑见下方代码即可,与SCG内置的RemoteAddrRoutePredicateFactory类似

/**
 * Description:黑名单Predicate
 * @author li.hongjian
 * @email lhj502819@163.com
 * @Date 2021/3/31
 */
public class BlackRemoteAddrRoutePredicateFactory
		extends AbstractRoutePredicateFactory<BlackRemoteAddrRoutePredicateFactory.Config> {

	public BlackRemoteAddrRoutePredicateFactory() {
		super(Config.class);
	}

	@NotNull
	private List<IpSubnetFilterRule> convert(List<String> values) {
		List<IpSubnetFilterRule> sources = new ArrayList<>();
		for (String arg : values) {
			addSource(sources, arg);
		}
		return sources;
	}

	/**
	 * 此方法需重写,用来创建Config使用
	 * @return
	 */
	@Override
	public ShortcutType shortcutType() {

		/**
		 * GATHER_LIST类型只能有一个shortcutField
		 * {@link this#shortcutFieldOrder()}
		 */
		return GATHER_LIST;
	}

	/**
	 * 配置中的value对应的字段
	 * 比如当前我们的Config中的字段就为sources
	 * @return
	 */
	@Override
	public List<String> shortcutFieldOrder() {
		return Collections.singletonList("sources");
	}


	@Override
	public Predicate<ServerWebExchange> apply(Config config) {
		/**
		 * IpSubnetFilterRule是Netty中定义的IP过滤规则
		 */
		//根据配置的sources生成对应规则
		List<IpSubnetFilterRule> sources = convert(config.sources);

		return new GatewayPredicate() {
			@Override
			public boolean test(ServerWebExchange exchange) {
				InetSocketAddress remoteAddress = config.remoteAddressResolver
						.resolve(exchange);
				if (remoteAddress != null && remoteAddress.getAddress() != null) {
					//只要符合任意一个规则就返回false,与RemoteAddrRoutePredicateFactory相反
					for (IpSubnetFilterRule source : sources) {
						if (source.matches(remoteAddress)) {
							return false;
						}
					}
				}
				//如果没有匹配所有规则,则通过
				return true;
			}
		};
	}

	private void addSource(List<IpSubnetFilterRule> sources, String source) {
		//判断是否配置了IP段,如果没有则默认为最大为32,如配置172.15.32.15,则被修改为172.15.32.15/32
		if (!source.contains("/")) { // no netmask, add default
			source = source + "/32";
		}
		//假设配置的为 172.15.32.15/18
		//根据'/'分割  [0]:172.15.32.15  [1]:18
		String[] ipAddressCidrPrefix = source.split("/", 2);
		String ipAddress = ipAddressCidrPrefix[0];
		int cidrPrefix = Integer.parseInt(ipAddressCidrPrefix[1]);

		//设置拒绝规则
		sources.add(
				new IpSubnetFilterRule(ipAddress, cidrPrefix, IpFilterRuleType.REJECT));
	}

	public static class Config{
		/**
		 * 可配置多个IP/IP段
		 */
		@NotEmpty
		private List<String> sources = new ArrayList<>();
		/**
		 * 用来解析客户端IP
		 */
		@NotNull
		private RemoteAddressResolver remoteAddressResolver = new RemoteAddressResolver() {
		};

		public List<String> getSources() {
			return sources;
		}

		public Config setSources(List<String> sources) {
			this.sources = sources;
			return this;
		}

		public Config setSources(String... sources) {
			this.sources = Arrays.asList(sources);
			return this;
		}

		public Config setRemoteAddressResolver(
				RemoteAddressResolver remoteAddressResolver) {
			this.remoteAddressResolver = remoteAddressResolver;
			return this;
		}
	}
}

使用

spring:
  cloud:
    gateway:
      routes:
      - id: hello_route
        uri: http://localhost:8088/api/hello
        predicates:
        - BlackRemoteAddr=169.254.183.1/18,172.17.31.1/18 #配置指定IP段限制
        - Path=/api/hello

验证

启动SCG和一个本地服务并暴露接口为/api/hello,返回结果为hello world。在自定义的BlackRemoteAddrRoutePredicateFactory#test中断点.


**环境:本机IP **169.254.183.16。配置限制IP为169.254.183.1/18。此时我们的请求应该是会被拒绝返回404状态码的。
在这里插入图片描述

可以看到Predicate获取到了我们的IP,并且匹配了我们配置的规则,因此返回false,表示不匹配该路由,因此返回404.
在这里插入图片描述

修改配置为其他IP段,比如169.254.183.18/32,此时我们的IP是不符合该规则的,因此会放行。
重启项目再次测试。
在这里插入图片描述

可以看到我们的IP并没有匹配配置的规则,返回true,表示可以走该路由。
在这里插入图片描述

上边我对“重启”重点标注了,每次修改规则都要重启项目才能生效,那么在实际用的时候,我们肯定想实现不重启就可以动态修改我们配置的规则,那么该怎么做呢?
我们可以通过将配置写到外部一个源中,比如DB中,通过类似Nacos一样定时发送一个刷新配置的事件去实现刷新Predicate配置。明天我们就来基于Redis来实现动态刷新配置的功能。

壹氿
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ui-predicate:最后是一个用于 Web 的 PredicateRule 编辑器 UI 组件 :rocket:
07-24
ui-谓词 最后 af*ck*n 谓词 Web 的 UI 组件。 一个优雅的用户界面组件,允许用户定义: 允许创建简单或复杂的规则 过滤用户界面 状况 使用此 UI 组件模式的软件 Mailchimp 分段 Zapier 推文过滤 谷歌分析细分 用户语音规则 MacOS 查找器 iTunes 智能播放列表 谷歌问题跟踪器 微软流程 :globe_showing_Asia-Australia: 浏览器支持 (去做) :artist_palette: 特征 完全可定制的目标、运算符和逻辑类型 完全可定制的默认行为 子谓词组支持(CompoundPredicate) 支持vue 、 react 、 angular 、 hyperHTML ,实现自己的. 高级包 套餐 描述 徽章 ui-谓词-vue (100%) VueJS 的 ui 谓词 ui-谓词-React (100%) 用于 React 的 ui 谓词 ui-谓词-角度 (0%) Angul
SpringCloud Gateway使用过滤器对IP和接口进行策略限制
小小默:进无止境
02-20 4567
背景:运维需要对项目某些接口进行IP策略限制。由于gateway在第一级,那么我们就使用GlobalFilter对接口贺IP策略进行限制。 ## 实现方案 这里直接先展示实现方案: ```java @Component public class IPCheckFilter implements GlobalFilter, Ordered { private static final Logger LOGGER = LoggerFactory.getLogger(IPCheckFilter.cla
Java Predicate及Consumer接口函数代码实现解析
08-19
主要介绍了Java Predicate及Consumer接口函数代码实现解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
An efficient attribute-based signature scheme with claim-predicate mechanism
02-09
Attribute-based signature is a promising cryptographic primitive that allows a signer to sign a message with a signing policy to convince the verifier that the signer holds a subset of attributes satisfying the signing policy. A successful execution of attribute-based signature should leak no information about the identity of the signer or the attributes he possesses, other than the fact these attributes that the underlying signer possesses satisfy the given signing policy. Attribute-based signa
aem-sites-extension-search-predicate:AEM 6.1站点的样本包。 为站点管理控制台创建自定义搜索谓词
05-26
Adobe Experience Manager 6.1扩展:创建设计自定义搜索谓词 这是一个示例软件包,显示了如何为Sites管理控制台创建自定义搜索谓词并将其与自定义搜索构面一起使用。 该程序包旨在用于AEM 6.1 GA。 编译安装 该项目使用Maven进行构建。 常用命令: 在项目目录中,运行mvn clean install content-package:install生成捆绑包和内容包并安装到CQ实例。 与VLT一起使用 要将vlt与此项目一起使用,请先如上所述将程序包构建并安装到本地CQ实例。 然后cd到src/main/content/jcr_root并运行 vlt --credentials admin:admin co http://localhost:4502/crx/-/jcr:root . --force 一旦创建了工作副本,就可以使用常规的vlt up和
若依后端gateway模块配置黑名单
sf1234666的博客
08-07 3101
若依后端gateway模块黑名单配置
GateWay网关应用案例(跨域、限流、黑白名单)
Hbger的博客
11-15 1万+
Spring Cloud Gateway是基于Spring Boot 2.x,Spring WebFlux和Project Reactor 构建的。属于异步非阻塞架构 Spring Cloud GatewaySpring Data 和Spring Securit 技术不能同时使用 Spring Cloud Gateway基于Spring Boot和Spring Webflux提供的Netty运行。它在传统的Servlet容器中或用WAR的方式构建时不起作用 网关基本的功能 :鉴权、流量控制、熔断、路径重写
Gateway API 实践之(二)FSM Gateway 的黑白名单访问控制
weixin_41455244的博客
01-16 990
黑白名单功能是一种有效的网络安全机制,用于控制和管理网络流量。这种功能基于预设的规则列表来确定哪些实体(IP 地址或者 IP 网段)被允许或禁止通过网关。网关使用黑白名单来过滤进入的网络流量。这种方式提供简单直接的访问控制,易于管理,可有效防止已知的安全威胁。
微服务网关实现ip黑名单功能(精修版)
weixin_46068827的博客
04-22 1800
package com.buy.gateway.filter; import com.alibaba.fastjson.JSON; import com.qfedu.buy.common.config.RedisKeyConfig; import com.qfedu.buy.common.config.SystemConfig; import com.qfedu.buy.common.util.RedissonUtil; import com.qfedu.buy.common.vo.R; import or
Springboot集成Gateway实现API服务网关
最新发布
05-08
Spring Cloud GatewaySpringBoot 应用提供了API网关支持,具有强大的智能路由与过滤器功能,本文将对其用法进行详细介绍。Gateway是在Spring生态系统之上构建的API网关服务,Gateway旨在提供一种简单而有效的...
基于Spring Cloud+Netty+Sentinel+Seata+TDengine+Vue的物联网平台项目码+数据
10-24
2、后端采用Spring Boot、Spring Cloud & Alibaba。 3、MqttBroker(支持集群化部署)基于Netty、Reactor3、Reactor-netty。 4、注册中心、配置中心选型Nacos,权限认证使用Redis。 5、流量控制框架选型Sentinel,...
Spring Cloud Alibaba Sentinel(七)受权规则 黑白名单
CodingAnHour
03-20 1201
1、受权规则 黑白名单 官方地址 很多时候,我们需要根据调用来来判断该次请求是否允许放行,这时候可以使用 Sentinel 的来访问控制(黑白名单控制)的功能。来访问控制根据资的请求来(origin)限制资是否通过,若配置白名单则只有请求来位于白名单内时才可通过;若配置黑名单则请求来位于黑名单时不通过,其余的请求通过。 调用方信息通过 ContextUtil.enter(resourceName, origin) 方法中的 origin 参数传入。 白名单:白名单内可以访问 黑
26.gateway的IP 认证拦截,gateway做token验证 流程图(springcloud
weixin_59334478的博客
11-15 2904
一般把token放在请求头里面,请求头里面是key-value结构,key统一设置成Authorization value统一设置成 bearer token。1.拿到请求的url。5.在redis中校验。
spring cloud alibaba gateway 集成 oauth2.0 完成微服务黑白名单认证
技术从心
06-04 3682
​最近换了工作搬了家,人又回到了原来的懒得境界,没有了之前的活力,想着再重新慢慢的找回来吧。最近灰度到了付费文章测试一下。 最近工作优化项目不是很慢,加上项目中可能要用到认证授权的东西,而最近也是一直想学习gateway+security+oauth2.0相关的认证授权,网上找了很多的资料都不是很全。 偶然间看到了一个若依的项目很符合我的要求,加上之前这方面的知识都有所了解,所以就照着若依的项目搭建了一个基础的认证授权微服务框架。 废话不多说介绍项目的作用,以及项目的流程,先看...
gateway基本配置
热门推荐
weixin_37672801的博客
01-01 2万+
路由转发 + 执行过滤器链。网关,旨在为微服务架构提供一种简单有效的统一的API路由管理方式。同时,基于Filter链的方式提供了网关的基本功能,比如:鉴权、流量控制、熔断、路径重写、黑白名单、日志监控等。统一入口:暴露出网关地址,作为请求唯一入口,隔离内部微服务,保障了后台服务的安全性鉴权校验:识别每个请求的权限,拒绝不符合要求的请求动态路由:动态的将请求路由到不同的后端集群中按生命周期分类。
Springboot拦截器IP防刷 + IP黑名单功能
BOOM0BOOM的博客
08-02 2654
Springboot拦截器IP防刷 + IP黑名单功能
Spring Cloud Gateway解析-11-扩展RouteDefinitionRepository实现基于Redis的动态路由
04-02 1883
由来 在Spring Cloud Gateway解析-10-定义Predicate实现黑名单中我们自定义Predicate实现黑名单,但发现每次更改黑名单规则都要重启项目来实现,因此需要将路由信息存储在外部数据中,定时刷新SCG内存中的路由信息。 思路 在Spring Cloud Gateway解析-03-RouteDefinitionLocator、RouteLocator解析中我们已经介绍过RouteDefinitionRepository,该接口在SCG中只有一个实现InMemo.
SpringCloud微服务之服务网关-gateway的使用
04-27
好的,我会为您介绍SpringCloud微服务中的服务网关-gateway的使用。 Spring Cloud GatewaySpring Cloud 的一个全新项目,该项目是基于Spring 5.0,Spring Boot 2.0和Project Reactor等技术开发的网关,它旨在为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

壹氿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值