Apache ShenYu 网关签名实战:AK/SK鉴权技术详解

已于 2024-09-05 10:40:23 修改
阅读量709 收藏 4
点赞数 12
分类专栏: Apache ShenYu 网关 文章标签: apache
于 2024-09-05 10:02:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014394049/article/details/141923289
版权

Apache ShenYu 网关签名实战:AK/SK鉴权技术详解

此文档编写时使用的版本为 Apache ShenYu 2.6.0

Sign插件,用来对请求进行签名认证,支持请求头进行鉴权和请求体进行鉴权。

  • 采用 AK/SK 鉴权技术方案。
  • 采用鉴权插件,责任链的模式来完成。
  • 当鉴权插件开启,并配置所有接口鉴权时候生效。
一 插件的鉴权配置

sign插件的 1.0.0 版本

  • 第一步:AK/SK由网关来进行分配,比如分配给你的AK为: CBB993DD88CF4A119F6FD771C963976B SK为:FE9C196A16C44F649F07A9F640AA7691
  • 第二步:确定好你要访问的网关路径 比如 /pub/captcha
  • 第三步:构造参数(以下是通用参数)
字段描述
timestamp当前时间戳(String类型)当前时间的毫秒数(网关会过滤掉10分钟之前的请求)
path/pub/captcha就是你需要访问的接口路径(根据你访问网关接口自己变更)
version1.0.0当前鉴权算法为1.0.0

对上述3个字段进行 key 的自然排序,然后进行字段与字段值拼接最后再拼接上 SK ,代码示例。

1)无请求体的签名参数验证

第一步:首先构造一个 Map

//timestamp为毫秒数的字符串形式 String.valueOf(LocalDateTime.now().toInstant(ZoneOffset.of("+8")).toEpochMilli())   
Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
map.put("timestamp", "1725500864289");  //值应该为毫秒数的字符串形式
map.put("path", "/pub/captcha");
map.put("version", "1.0.0");

第二步:进行 Key 的自然排序,然后 KeyValue值拼接最后再拼接分配给你的 SK

List<String> storedKeys = Arrays.stream(map.keySet()
                .toArray(new String[]{}))
        .sorted(Comparator.naturalOrder())
        .collect(Collectors.toList());

final String sign = storedKeys.stream()
        .map(key -> String.join("", key, map.get(key)))
        .collect(Collectors.joining()).trim()
        .concat("FE9C196A16C44F649F07A9F640AA7691");

你得到的 sign 值应该为:

 path/pub/captchatimestamp1725500864289version1.0.0FE9C196A16C44F649F07A9F640AA7691

第三步:进行 MD5 加密后转成大写。

DigestUtils.md5DigestAsHex(sign.getBytes()).toUpperCase()

最后得到的值为:

5D8C6E2E06E9AF128647EC6C3D27F31C
2) 有请求体,请求头的签名参数验证

第一步: 首先构造一个 Map 。并且该map必须存储请求体的每个节点信息

        Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
        //timestamp is string format of millisecond. String.valueOf(LocalDateTime.now().toInstant(ZoneOffset.of("+8")).toEpochMilli())
        map.put("timestamp", "1725500864289");  // Value should be string format of milliseconds
        map.put("path", "/sys/lgn");
        map.put("version", "1.0.0");
        // if your request body is:{"mobile":"13688889999","password":"awlxninsnregxljprx8yvhzilm0tnhda","key":"53a55746-ee0f-4b5c-8750-1a9694d8c730","captcha":"qMvN"}
        map.put("mobile", "13688889999");
        map.put("password", "awlxninsnregxljprx8yvhzilm0tnhda");
        map.put("key", "53a55746-ee0f-4b5c-8750-1a9694d8c730");
        map.put("captcha", "qMvN");

第二步:进行 Key 的自然排序,然后 KeyValue值拼接最后再拼接分配给你的 SK

   List<String> storedKeys = Arrays.stream(map.keySet()
                        .toArray(new String[]{}))
                .sorted(Comparator.naturalOrder())
                .collect(Collectors.toList());
   final String sign = storedKeys.stream()
                .map(key -> String.join("", key, map.get(key)))
                .collect(Collectors.joining()).trim()
                .concat("FE9C196A16C44F649F07A9F640AA7691");
  • 你得到的 sign 值应该为:captchaqMvNkey53a55746-ee0f-4b5c-8750-1a9694d8c730mobile13688889999passwordawlxninsnregxljprx8yvhzilm0tnhdapath/sys/lgntimestamp1725500864289version1.0.0FE9C196A16C44F649F07A9F640AA7691

第三步:进行 MD5 加密后转成大写。

DigestUtils.md5DigestAsHex(sign.getBytes()).toUpperCase()
  • 最后得到的值为: 6D8BCA2A50F33A8F98A3E8E8D958BBB9.
二 示例请求网关

  • 假如你访问的路径为:/pub/captcha

  • 访问地址 :

    http://你的域名/pub/captcha。

  • 设置header头,header头参数为:

字段描述
timestamp1725500864289上述你进行签名的时候使用的时间值
appKeyCBB993DD88CF4A119F6FD771C963976B分配给你的AK值
sign5D8C6E2E06E9AF128647EC6C3D27F31C上述得到的签名值
version1.0.0写死,就为这个值
  • 签名插件会默认过滤 10 分钟之前的请求(默认值参考官方文档,这里有做修改)
  • 如果认证不通过会返回 code401message 可能会有变动。
{  "code": 401,  "message": "sign is not pass,Please check you sign algorithm!",  "data": null}

详情参考:Apache ShenYu 的 SignPlugin 插件

敲代码不忘补水
关注
专栏目录
跨平台应用开发进阶(三十二) :AK SK鉴权原理简介_aksk鉴权(1)
2301_82244607的博客
05-04 578
是⽤户⽤于加密认证字符串和⽤来验证认证字符串的密钥,其中SK必须保密。通过使⽤加密的⽅法来验证某个请求的发送者⾝份。客户端在调用服务端接口的时候,会带上ak以及signature(使用sk对内容进行加密后得出的签名)进行请求,在服务端接收到这个请求的时候,首先会根据ak去数据库里面去找到对应的sk,然后使用sk对请求内容进行加密得到一个签名,然后对比客户端传过来的签名和服务端计算的出来的签名是否一致,如果一致则代表身份认证通过,反之则不通过。
web鉴权access_token、AK/SK、session/cookie
酌沧
05-10 2333
JWT是一种开放标准(RFC 7519),用于在各方之间作为紧凑的、独立的方式传输声明。JWT 包含HeaderPayload和Signature三部分,通常是自包含的(包含所有的用户信息、权限等)。JWT 主要通过HMAC或RSA进行签名,用于验证 Token 的完整性和合法性。Access Token(访问令牌)通常是一个字符串,作为访问受保护资源的凭证,生成于用户登录后。OAuth 2.0协议广泛使用 access_token 来授权和访问资源。本身可能只是一个标识符,通常由授权服务器签发。
API网关Apache ShenYu
最新发布
youziguo的专栏
08-22 1085
Apache ShenYu(原名Soul)是一个开源的API网关,旨在支持高性能、跨语言和云原生架构。它为管理和控制客户端与服务之间的数据流提供了一种高效且可扩展的解决方案。以下是Apache ShenYu的详细介绍:
aksk鉴权
weixin_30608131的博客
02-01 6466
简介 鉴权功能的位置处于基础服务的接入网关中。 1. 认证简介 本鉴权方案是在api层面上进行,通过使用Access Key/Secret Key加密的方法来对验证某个请求的调用者身份。 当接入网关接收到业务调用方的请求时,将使用相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相关操作;如果认证字符串不同,...
2.AK/SK鉴权
qq_22321199的专栏
04-07 812
在云服务中,AK(Access Key ID)和SK(Secret Access Key)是访问云服务API的关键凭证对,主要用于身份验证和授权。AK是用户访问云服务的身份标识,而SK则是用于加密和签名请求的重要密钥,用于证实请求确实来自于拥有该AK的合法用户。:类似于用户名,是一个全局唯一的字符串,对外公开,但本身不具备安全性,仅用于标识用户的访问密钥对。:类似于密码,是一个高度敏感的字符串,绝对不能公开,用于生成数字签名以验证请求的真实性。
网关ShenYu Gateway入门Demo体验,ShenYu网关2.6.0直接调用Dubbo服务
wenchun001的博客
07-17 1585
本次为新开源框架接入ShenYu网关做基础学习指导,特地来下载官网的demo体验一把,具体是想通过网关泛化调用dubbo服务。本次使用的是最新版本2.6.0。如何通过 Apache ShenYu 网关代理 Dubbo 服务 | Apache Dubbo
跨平台应用开发进阶(三十二) :AK/SK鉴权原理简介
C18298182575的博客
04-13 2065
客户端在调用服务端接口的时候,会带上ak以及signature(使用sk对内容进行加密后得出的签名)进行请求,在服务端接收到这个请求的时候,首先会根据ak去数据库里面去找到对应的sk,然后使用sk对请求内容进行加密得到一个签名,然后对比客户端传过来的签名和服务端计算的出来的签名是否一致,如果一致则代表身份认证通过,反之则不通过。云主机接收到⽤户的请求后,系统将使⽤AK对应的相同的SK和同样的认证机制⽣成认证字符串,并与⽤户请求中包含的认证字符串进⾏⽐对。AK: Access Key Id,⽤于标⽰⽤户;
Apache ShenYu(神禹) 网关
llx522的博客
06-18 5421
采用Java WebFlux编写的响应式API网关:具有异步、高性能、跨语言的特点。开发,是一个一部非阻塞式IO模型,通过少量的容器现场支撑大量的并发访问,底层采用。部署方式:本地部署、docker部署、k8s部署、集群部署等。与传统的SpringMVC不同,SpringMVC基于。选择Spring Reactive Web依赖。项目中的服务调用监控链:ShenYu网关
Apache ShenYu分布式网关安装&部署&使用文档
chang_mao的博客
02-20 2838
本文主要介绍分布式网关Apache ShenYu网关如何安装部署及使用,从0到1,图文并茂的保姆级教程,包括ShenYu网关源码下载,打包部署,客户端接入,请求路由,负载均衡等。网关作为微服务架构中统一的流量入口,它扮演着多种关键角色,可以做请求路由和负载均衡,统一安全认证,服务注册与分发,灰度发布,请求熔断、限流、错误重试,让业务服务只需关心自己的业务逻辑,将通用的请求过程统一在网关层进行处理。
Apache-Shenyu入门教程(demo实战及遇到的坑)
无痕之剑的书橱
03-29 4876
目录 一、背景 二、Apache-shenyu是什么? 三、下载代码 四、加载工程 五、启动shenyu-admin 六、启动shenyu-bootstrap 七、启动shenyu-examples中的shenyu-examples-http 八、参考文献 一、背景 最近参加了一个直播"Apache DolphinScheduler& Apache ShenYu(Incubating) 联合 Meetup",听各大佬还有初入开源社区的小白分享经验,收益匪浅,先玩玩apa.
Apache ShenYu(原 soul) 网关 整合 nacos
王大磕碜的技术博客OvO
06-10 3244
公司做项目重构,从单体换成微服务,没有做过网关相关开发的我接下了这个工作. 现在关于shenyu(原soul)的文章、教程都比较少,所以记录一下整合nacos的过程,希望能够对你有帮助
ShenYu网关Http服务探活解析
指尖凉的博客
12-14 1342
Shenyu HTTP服务探活是一种用于检测HTTP服务是否正常运行的机制。它通过建立Socket连接来判断服务是否可用。当服务不可用时,将服务从可用列表中移除。
探索Apache ShenYu:高性能微服务API网关
gitblog_01193的博客
08-07 682
探索Apache ShenYu:高性能微服务API网关 shenyuApache ShenYu is a Java native API Gateway for service proxy, protocol conversion and API governance.项目地址:https://gitcode.com/gh_mirrors/sh/shenyu 在微服务架构的浪潮中,选择一个高效、...
MSE 支持 Apache Shenyu 网关实现全链路灰度
阿里云云栖号
09-14 1142
我们希望可以对这些服务的新版本同时进行小流量灰度验证,这就是微服务架构中特有的全链路灰度场景,通过构建从网关到整个后端服务的环境隔离来对多个不同版本的服务进行灰度验证。
AK/SK(aksk)鉴权原理简介
热门推荐
Hongyu_Liu的博客
07-14 1万+
1、AK/SK 简介 AK:Access Key Id,用于标示用户; SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密. 通过使用Access Key Id / Secret Access Key加密的方法来验证某个请...
微服务:高性能网关 ShenYu简介
GIS摆渡人
08-29 1895
2022 年 7 月 28 日,全球最大的开源软件基金会 Apache 软件基金会发布博客,宣布 Apache ShenYu 正式毕业,成为 Apache 顶级项目(TLP)。
Apache ShenYu网关初体验
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-26 1万+
Apache ShenYu(神禹)是一款国产的,采用Java WebFlux编写的响应式API网关,具有异步、高性能、跨语言的特点。
【开源项目】网关ShenYu项目本地启动
秋装什么的博客
04-29 431
【开源项目】网关ShenYu项目本地启动
AK/SK认证方式
weixin_45630387的博客
05-28 2495
AK/SK认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值