Spring Cloud Gateway系列【7】自定义过滤器

最新推荐文章于 2024-08-19 19:15:13 发布
最新推荐文章于 2024-08-19 19:15:13 发布
阅读量6.9k 收藏 25
点赞数 4
分类专栏: # Spring Cloud Gateway 文章标签: mysql java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43437874/article/details/121626379
版权
本文介绍了如何通过两种方式创建网关过滤器:继承AbstractGatewayFilterFactory实现打印请求URI,以及实现GatewayFilter接口进行全局鉴权。同时展示了如何防范XSS攻击和自定义放行路径的示例。
摘要由CSDN通过智能技术生成

文章目录

自定义网关过滤器

需求:编写一个网关过滤器,实现打印请求URI。

方式1 继承AbstractGatewayFilterFactory

1. 继承抽象类

仿照默认的网关过滤器,实现一个简单打印请求路径和过滤器配置参数的功能。

@Slf4j
@Component
public class RequestLogGatewayFilterFactory extends AbstractGatewayFilterFactory<AbstractGatewayFilterFactory.NameConfig> {

    public RequestLogGatewayFilterFactory() {
        super(NameConfig.class);
    }

    @Override
    public List<String> shortcutFieldOrder() {
        return Arrays.asList("name");
    }

    @Override
    public GatewayFilter apply(NameConfig config) {
        return new GatewayFilter() {
            @Override
            public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
                // 获取请求路径
                URI uri = exchange.getRequest().getURI();
                log.info("获取到请求路径:{}", uri.toString());
                //
                log.info("配置属性:{}", config.getName());
                return chain.filter(exchange);
            }

            @Override
            public String toString() {
                return GatewayToStringStyler.filterToStringCreator(RequestLogGatewayFilterFactory.this).toString();
            }
        };
    }
}
2. 添加配置

YML中添加当前过滤器

spring:
  cloud:
    gateway:
      enabled: true
      routes:
      - id: app-service001 # 路由唯一ID
        uri: http://localhost:9000    # 目标URI,
        predicates:   # 断言,为真则匹配成功
        # 匹配亚洲上海时间 2021-11-29:17:42:47 以后的请求
        # - After=2021-11-29T17:42:47.000+08:00[Asia/Shanghai]
        - Path=/app1/** # 配置规则Path,如果是app1开头的请求,则会将该请求转发到目标URL
        filters:
          - RequestLog=config
3. 测试

访问一下路径:

http://localhost/app1/test

发现进入到过滤器断点,可以看到ServerWebExchange,封装了请求响应等Web信息。
在这里插入图片描述
GatewayFilterChain过滤器链,封装了很多过滤器。
在这里插入图片描述
放行后打印了过滤器中的日志信息,配置成功
在这里插入图片描述

方式2 实现GatewayFilter 接口

可以直接实现GatewayFilter 接口,编写过滤器逻辑处理。

@Slf4j
public class RequestLogGatewayFilter implements GatewayFilter, Ordered {

    /**
     * @param exchange 网络交换机
     * @param chain    过滤器链
     * @return
     */
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 获取请求路径
        URI uri = exchange.getRequest().getURI();
        log.info("获取到请求路径:{}", uri.toString());
        return chain.filter(exchange);
    }

    /**
     * 设置过滤器执行顺序,数值越低,优先级越搞
     *
     * @return
     */
    @Override
    public int getOrder() {
        return 0;
    }
}

但是这种方式需要用JAVA代码编写路由信息添加过滤器,所以不是很推荐使用:

@Configuration
public class GatewayConfig {

    @Bean
    public RouteLocator customerRouteLocator(RouteLocatorBuilder builder) {
        return builder.routes()
                .route(r -> r.path("/app1/**")
                        .filters(f -> f.filter(new RequestLogGatewayFilter()))
                        .uri("http://localhost:9000")
                )
                .build();
    }
}

自定义全局过滤器

自定义全局过滤器需要实现以下两个接口:GlobalFilter,ordered。通过全局过滤器可以实现权限校验,安全性验证等功能。

案例演示之鉴权

需求:对所有请求进行鉴权,校验消息头是否携带了 Spring Security Oauth2 访问令牌,没有则直接拦截,还需要对登录等接口进行放行处理。

1. 编写过滤器

全局过滤器只需要实现 GlobalFilter, Ordered接口就可以了,完整代码如下所示,

@Component
@Slf4j
public class AuthGlobalFilter implements GlobalFilter, Ordered {

    @Autowired
    ObjectMapper objectMapper;

    // 放行路径,可以编写配置类,配置在YML中
    private static final String[] SKIP_PATH = {"/app1/login", "/app1/skip/**"};

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 1. 判断是否放行路径
        String requestPath = exchange.getRequest().getPath().pathWithinApplication().value();
        boolean match = Arrays.stream(SKIP_PATH).map(path -> path.replaceAll("/\\*\\*", "")).anyMatch(path -> path.startsWith(requestPath));
        if (match) {
            return chain.filter(exchange);
        }
        // 2. 判断是否包含Oauth2 令牌
        String authorizationHeader = exchange.getRequest().getHeaders().getFirst("Authorization");
        if (StringUtils.isEmpty(authorizationHeader) ) {
            // 如果消息头中没有 Authorization ,并且不是 Bearer开头,则抛出异常
            ServerHttpResponse response = exchange.getResponse();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            response.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
            String result = "";
            try {
                Map<String, Object> map = new HashMap<>(16);
                map.put("code", HttpStatus.UNAUTHORIZED.value());
                map.put("msg", "当前请求未认证,不允许访问");
                map.put("data", null);
                result = objectMapper.writeValueAsString(map);
            } catch (JsonProcessingException e) {
                log.error(e.getMessage(), e);
            }
            DataBuffer buffer = response.bufferFactory().wrap(result.getBytes(StandardCharsets.UTF_8));
            return response.writeWith(Flux.just(buffer));
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return -1;
    }
}
2. 测试

访问/app1/test ,发现返回了我们定义的异常信息。
在这里插入图片描述

访问/app1/login 则没问题,是因为配置了放行路径。
在这里插入图片描述

案例演示之防范XSS 攻击

需求:对所有请求进行鉴权,校验Get请求参数是否携带了恶意脚本,发现时,拒绝访问。

添加一个全局过滤器,获取Get请求参数,然后正则匹配是否包含恶意脚本。

@Slf4j
@Component
public class XssGlobalFilter implements GlobalFilter, Ordered {

    @Autowired
    ObjectMapper objectMapper;

    private final static Pattern[] scriptPatterns = {
            Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE),
            Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("</script>", Pattern.CASE_INSENSITIVE),
            Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE),
            Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE),
            Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL)
    };

    @SneakyThrows
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest serverHttpRequest = exchange.getRequest();
        HttpMethod method = serverHttpRequest.getMethod();
        URI uri = exchange.getRequest().getURI();
        if (method == HttpMethod.GET) {
            String paramsString = uri.getRawQuery().replaceAll("[\u0000\n\r]", "");
            if (StringUtils.isBlank(paramsString)) {
                return chain.filter(exchange);
            }
            String lowerValue = URLDecoder.decode(paramsString, "UTF-8").toLowerCase();
            for (Pattern pattern : scriptPatterns) {
                if (pattern.matcher(lowerValue).find()) {
                    return xssResponse(exchange);
                }
            }
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }

    public Mono<Void> xssResponse(ServerWebExchange exchange) {
        ServerHttpResponse response = exchange.getResponse();
        response.setStatusCode(HttpStatus.BAD_REQUEST);
        response.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
        String result = "";
        try {
            Map<String, Object> map = new HashMap<>(16);
            map.put("code", HttpStatus.BAD_REQUEST.value());
            map.put("msg", "当前请求可能存在恶意脚本,拒绝访问");
            result = objectMapper.writeValueAsString(map);
        } catch (JsonProcessingException e) {
            log.error(e.getMessage(), e);
        }
        DataBuffer buffer = response.bufferFactory().wrap(result.getBytes(StandardCharsets.UTF_8));
        return response.writeWith(Flux.just(buffer));
    }
}

测试,携带一个脚本参数去访问,被拒绝。
在这里插入图片描述

云烟成雨TD
关注
专栏目录
创建自定义 Spring Cloud Gateway 过滤器 - spring.io
Candyz7的博客
08-30 472
除了支持开源的Spring Cloud Gateway过滤器自定义过滤器(比如我们上面写的那个),它还配有更多的内置过滤器来处理你的请求和响应。接下来让我们创建 GatewayFilter Factory,它是一个限定于特定路由的过滤器,它允许我们以某种方式修改传入的 HTTP 请求或传出的 HTTP 响应。注意:当我们读取请求正文时,网关将受到内存限制。为了在我们的网关中使用该过滤器,我们在application.yaml的路由中添加RequestHashing过滤器,使用SHA-256作为算法。...
网关 Spring Cloud Gateway 自定义过滤器(全局过滤器以及网关过滤器
2401_84047990的博客
04-08 1407
现在其实从大厂招聘需求可见,在招聘要求上有高并发经验优先,包括很多朋友之前都是做传统行业或者外包项目,一直在小公司,技术搞的比较简单,没有怎么搞过分布式系统,但是现在互联网公司一般都是做分布式系统。所以说,如果你想进大厂,想脱离传统行业,这些技术知识都是你必备的,下面自己手打了一份Java并发体系思维导图,希望对你有所帮助。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!
SpringCloud Gateway 自定义过滤器
qq_33240556的博客
06-18 416
首先,创建一个实现接口的类。在这个类中,你可以定义需要执行的过滤逻辑。// 在这里添加自定义逻辑,例如修改请求头 exchange . getRequest() . mutate() . header("X-Custom-Header" , "MyCustomValue") . build();// 继续执行过滤链 return chain . filter(exchange);} }
深入 Spring Cloud Gateway 过滤器:实战指南与最佳实践
最新发布
Chen_neal_Java的博客
08-19 864
自定义过滤器工厂提供了一个更加灵活的方式来创建实例。这种方式允许你定义配置选项,并且可以通过工厂模式来创建多个不同的过滤器实例。与类似,也可以通过@Component注解自动扫描。
Spring Cloud Gateway自定义过滤器
qq_32238611的博客
04-22 5111
Spring Cloud Gateway自定义过滤器 背景 最近项目需要切换网关,由zuul切换为spring cloud gateway,研究了部分spring cloud gateway能力,本文主要记录了spring cloud gateway如何自定义过滤器。 创建Spring Cloud Gateway工程 添加如下maven依赖引入Spring Cloud Gateway,这边我测试的工程使用的Spring Cloud以及Spring Boot版本分别为Hoxton.SR12和2.3.12.RE
SpringCloudGateway--过滤器自定义filter
有问题请发邮箱dengyifanlittle@163.com进行讨论
11-02 3951
当使用Spring Cloud Gateway构建API网关时,可以利用Spring Cloud Gateway提供的内置过滤器filter)来实现对请求的处理和响应的处理。过滤器可以在请求被路由之前或之后被执行,它可以用于修改请求和响应内容、记录请求日志、校验请求参数、鉴权等等。如果内置的过滤器不能满足需求,可以自定义过滤器
Spring Cloud Gateway---自定义过滤器
denghonghao的博客
12-21 434
前言 即使Spring Cloud Gateway自带有许多实用的GatewayFilter FactoryGateway Filter、Global Filter,但是在很多情景下我们仍然希望可以自定义自己的过滤器。实现一些骚操作。所以自定义过滤器就显得非常有必要。本文主要介绍了自定义Gateway Filter自定义Global Filter自定义Gateway Filter Factory。 案例 实现自己的过滤器我们其实可以去查看Spring Cloud Gateway自带过滤器源码是如
springcloud gateway 全局过滤器统一签名判定.doc
12-01
总结来说,Spring Cloud Gateway的全局过滤器允许我们插入自定义的安全策略,如统一签名验证。结合Eureka服务注册和发现,我们可以构建一个健壮且安全的微服务架构。在实际应用中,还需要考虑异常处理、性能优化等...
Spring Cloud Gateway-自定义断言及过滤器
IHai技术之家
03-15 1609
Spring Cloud Gateway-自定义断言及过滤器 在使用Spring Cloud Gateway的过程中,除了使用其内置的断言和过滤器外,有时候可能还需要实现一些特定的业务,这种情况下我们需要自定义实现断言及过滤器,这篇将为同学们介绍一下怎么在Spring Cloud Gateway中实现自定义断言及过滤器自定义断言 实现自定义断言,需要实现RoutePredicateFactory接口并实例化为Spring Bean,也可以通过继承AbstractRoutePredicateFactory
详解SpringCloud Gateway过滤器GatewayFilter
08-26
GatewayFilter的实现类可以是自定义过滤器,也可以是SpringCloud Gateway提供的内置过滤器。GlobalFilterSpringCloud Gateway的全局过滤器接口,提供了对所有请求的过滤功能,通常用于认证、授权、日志记录等...
Spring-Cloud-Gateway实现自定义过滤器
Cavewang的博客
03-31 3599
Spring-Cloud-Gateway实现自定义过滤器
SpringCloud Gateway自定义全局过滤器
weixin_42270645的博客
03-22 958
项目需要处理网络请求异常 404 等异常,可以通过自定义全局过滤器来处理响应结果。还可以对相应结果进行二次封装,修改内容响应最新修改过的内容。 自定义全局过滤器: 实现 GlobalFilter 接口 实现 Ordered 接口,可以自定义过滤器顺序 添加自定义全局过滤器类 import com.alibaba.fastjson.JSON; import com.google.common.base.Joiner; import com.google.common.base.Throwables; im
Spring Cloud Gateway 自定义GatewayFilter
suifengwing的博客
12-20 396
Spring Cloud Gateway提供了过滤器的扩展功能,可以根据实际业务需求来自定义过滤器
SpringCloud: gateway中创建自定义过滤器
amadeus_liu2的博客
01-09 916
1.在Pom文件增加相关依赖: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.ap
SpringCloud Gateway网关 -- 开发自定义局部过滤器
小哇
09-21 291
1 注意代码中注释的地方。2 使用上面的过滤器
Spring Cloud Gateway①入门以及自定义过滤器开发
太空眼睛的专栏
07-07 902
转发配置示例 以下是一个简单的转发的配置,把的请求转发到 Spring Boot启动类 程序启动 程序启动后输出以下日志,说明程序启动成功 浏览器访问 在浏览器地址栏输入 Spring Cloud Gateway内置了多种过滤器,我们示例中演示了StripPrefix过滤器的使用,把原始请求截断了,这样转发到时才不会出现404错误Spring Cloud Gateway虽然自带有许多实用的GatewayFilter FactoryGateway Filter、Global Filter,但是在很多业务情
网关API(SpringCloudGateway)如何自定义Filter
风止的博客
06-06 1612
SpringCloud 虽然给我们提供了很多过滤器,但是这些过滤器功能都是固定的,无法满足用户的各式各样的需求。因此SpringCloud提供了过滤器的扩展功能自定过滤器。开发者可以根据自己的业务需求自定义过滤器。则是局部过滤器,它们可以应用到特定的路由或者路径上。通过将过滤器应用到特定的路由配置中,可以使得这些过滤器只在特定的请求路径下生效。Pre 过滤器:在请求被路由到目标服务之前执行。例如,可以在此类过滤器中进行身份验证、日志记录、请求修改等操作。Post 过滤器:在请求被路由到目标服务之后执行。
spring cloud gateway 自定义GatewayFilterFactory
weixin_33946020的博客
05-23 1646
spring cloud gateway提供了很多内置的过滤器,那么因为需求的关系,需要自定义实现,并且要可配置,在一番折腾之后,总算是解决了,那么久记录下来 对于自定义factory,我们可以选择去实现接口或继承已有的抽象类,相关的接口是GatewayFilterFactory,而springboot默认帮我们实现的抽象类是AbstractGatewayFilterFactory这个 首先来看...
spring cloud gateway自定义过滤器
05-30
好的,关于Spring Cloud Gateway自定义过滤器,我可以给你简单介绍一下: 1. 首先,你需要创建一个类,并实现org.springframework.cloud.gateway.filter.GatewayFilter接口。 2. 在该类中,你需要实现filter方法,该方法中可以编写你自己的过滤逻辑。 3. 接着,你需要创建一个工厂类,并实现org.springframework.cloud.gateway.filter.factory.GatewayFilterFactory接口。 4. 在该工厂类中,你需要实现name、shortcutFieldOrder和newInstance方法,其中newInstance方法中需要返回你所创建的过滤器实例。 5. 最后,在Spring Boot应用程序中,你可以通过配置文件或代码的方式来使用自定义过滤器。 希望以上内容对你有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云烟成雨TD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值