Soul 网关源码分析(四)sign 插件

最新推荐文章于 2023-12-13 11:49:54 发布
最新推荐文章于 2023-12-13 11:49:54 发布
阅读量548 收藏
点赞数
分类专栏: Java Soul 文章标签: 网关 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wickedWings/article/details/112798127
版权
Java 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
Soul
10 篇文章 0 订阅
订阅专栏

在上一节中,我们尝试dubbo插件将http协议转换成dubbo协议,今天我们来看看 sign 插件是如何实现请求鉴权的。

流程演示

我们先试试没有添加sign插件时,是否能正常请求接口:

➜  ~ curl localhost:9195/dubbo/findAll
{"code":200,"message":"Access to success!","data":{"name":"hello world Soul Alibaba Dubbo , findAll","id":"-803129909"}}

成功。

首先我们需要在插件管理中打开sign插件的开关。然后我们在认证管理中,新增一条 AK/SK 记录:
在这里插入图片描述
添加完毕后,我们可以看到AppKey 和加密密钥已经为我们生成好了:
在这里插入图片描述
现在我们再试试刚刚代理dubbo 服务中的 /dubbo/findAll 接口:

➜  ~ curl localhost:9195/dubbo/findAll
{"code":200,"message":"Access to success!","data":{"name":"hello world Soul Alibaba Dubbo , findAll","id":"-541002115"}}

发现没有生效,原因是没有配置sign的选择器:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
按照上图所示配置好sign选择器后再请求我们配置了鉴权校验的接口:

➜  ~ curl localhost:9195/dubbo/findAll
{"code":401,"message":"sign parameters are incomplete!","data":null}

成了,提示我们签名参数不完整,下表展示了我们需要在headers中添加的header:

字段描述
timestamp1571711067186上述你进行签名的时候使用的时间值
appKey1TEST123456781AK值
signA90E66763793BDBC817CF3B52AAAC041上述得到的签名值
version1.0.0固定默认值

签名插件会默认过滤5分钟之后的请求。

现在直奔单元测试类,把现有的时间戳,appkey 和 sign 改写成自己的:

	private SignService signService;
    
    private ServerWebExchange exchange;
    
    //这里改成自己的
    private final String appKey = "E841FEDBF8EE4912878993EC84F70947";
    //这里改成自己的
    private final String secretKey = "4FBB99E1B97B45D79D8F891D45DBB97E";
    
    private SoulContext passed;
    
    @Value("${soul.sign.delay:5}")
    private int delay;
    
    @Before
    public void setup() {
        this.signService = new DefaultSignService();
        this.exchange = MockServerWebExchange.from(MockServerHttpRequest.get("localhost").build());
        //这里改成自己的,路径是默认签名的一部分
        final String path = "/dubbo/findAll";
        PluginData signData = new PluginData();
        signData.setId("1");
        signData.setName(PluginEnum.SIGN.getName());
        signData.setEnabled(true);
        signData.setRole(1);
        BaseDataCache.getInstance().cachePluginData(signData);
        
        AppAuthData authData = new AppAuthData();
        authData.setAppKey(appKey);
        authData.setAppSecret(secretKey);
        authData.setEnabled(true);
        AuthPathData authPathData = new AuthPathData();
        authPathData.setAppName("test-api");
        authPathData.setPath(path);
        authPathData.setEnabled(true);
        authData.setPathDataList(Lists.newArrayList(authPathData));
        SignAuthDataCache.getInstance().cacheAuthData(authData);
        
        this.passed = new SoulContext();
        this.passed.setModule("/dubbo");
        this.passed.setMethod("/findAll");
        this.passed.setRpcType("dubbo");
        this.passed.setHttpMethod("GET");
        this.passed.setPath(path);
        final String timestamp = String.valueOf(System.currentTimeMillis());
        this.passed.setTimestamp(timestamp);
        this.passed.setSign(buildSign(secretKey, timestamp, this.passed.getPath()));
        //在这里打断点,获取到 this.getpassed 中的sign
        this.passed.setAppKey(appKey);
        this.passed.setContextPath("/");
        this.passed.setRealUrl("/dubbo/findAll");
    }

下面我们在postman 请求的 headers 中添加签名相关的header并请求:
在这里插入图片描述
成功通过了校验。

源码分析

/**
 * The type Default sign service.
 *
 * @author xiaoyu
 */
@Slf4j
public class DefaultSignService implements SignService {
    
    //可以自定义sign过期时间,单位为分钟
    @Value("${soul.sign.delay:5}")
    
    private int delay;
    
    @Override
    public Pair<Boolean, String> signVerify(final ServerWebExchange exchange) {
        PluginData signData = BaseDataCache.getInstance().obtainPluginData(PluginEnum.SIGN.getName());
        //需要配置 sign 插件且 sign 插件是激活状态
        if (signData != null && signData.getEnabled()) {
            final SoulContext soulContext = exchange.getAttribute(Constants.CONTEXT);
            assert soulContext != null;
            //执行verify方法校验签名
            return verify(soulContext, exchange);
        }
        return Pair.of(Boolean.TRUE, "");
    }
    
    private Pair<Boolean, String> verify(final SoulContext soulContext, final ServerWebExchange exchange) {
    	//任意为空,则失败
        if (StringUtils.isBlank(soulContext.getAppKey())
                || StringUtils.isBlank(soulContext.getSign())
                || StringUtils.isBlank(soulContext.getTimestamp())) {
            log.error("sign parameters are incomplete,{}", soulContext);
            return Pair.of(Boolean.FALSE, Constants.SIGN_PARAMS_ERROR);
        }
        //获取当前的时间戳
        final LocalDateTime start = DateUtils.formatLocalDateTimeFromTimestampBySystemTimezone(Long.parseLong(soulContext.getTimestamp()));
        final LocalDateTime now = LocalDateTime.now();
        final long between = DateUtils.acquireMinutesBetween(start, now);
        //跟delay做比对
        if (between > delay) {
            return Pair.of(Boolean.FALSE, String.format(SoulResultEnum.SING_TIME_IS_TIMEOUT.getMsg(), delay));
        }
        return sign(soulContext, exchange);
    }
    
    /**
     * verify sign .
     *
     * @param soulContext {@linkplain SoulContext}
     * @return result : True is pass, False is not pass.
     */
    private Pair<Boolean, String> sign(final SoulContext soulContext, final ServerWebExchange exchange) {
        final AppAuthData appAuthData = SignAuthDataCache.getInstance().obtainAuthData(soulContext.getAppKey());
        //一系列判空逻辑
        if (Objects.isNull(appAuthData) || !appAuthData.getEnabled()) {
            log.error("sign APP_kEY does not exist or has been disabled,{}", soulContext.getAppKey());
            return Pair.of(Boolean.FALSE, Constants.SIGN_APP_KEY_IS_NOT_EXIST);
        }
        List<AuthPathData> pathDataList = appAuthData.getPathDataList();
        if (CollectionUtils.isEmpty(pathDataList)) {
            log.error("You have not configured the sign path:{}", soulContext.getAppKey());
            return Pair.of(Boolean.FALSE, Constants.SIGN_PATH_NOT_EXIST);
        }
   		//查看path是否在配置列表中
        boolean match = pathDataList.stream().filter(AuthPathData::getEnabled)
                .anyMatch(e -> PathMatchUtils.match(e.getPath(), soulContext.getPath()));
        if (!match) {
            log.error("You have not configured the sign path:{},{}", soulContext.getAppKey(), soulContext.getRealUrl());
            return Pair.of(Boolean.FALSE, Constants.SIGN_PATH_NOT_EXIST);
        }
        String sigKey = SignUtils.generateSign(appAuthData.getAppSecret(), buildParamsMap(soulContext));
        boolean result = Objects.equals(sigKey, soulContext.getSign());
        //校验sign是否合法
        if (!result) {
            log.error("the SignUtils generated signature value is:{},the accepted value is:{}", sigKey, soulContext.getSign());
            return Pair.of(Boolean.FALSE, Constants.SIGN_VALUE_IS_ERROR);
        } else {
            List<AuthParamData> paramDataList = appAuthData.getParamDataList();
            if (CollectionUtils.isEmpty(paramDataList)) {
                return Pair.of(Boolean.TRUE, "");
            }
            paramDataList.stream().filter(p ->
                    ("/" + p.getAppName()).equals(soulContext.getContextPath()))
                    .map(AuthParamData::getAppParam)
                    .filter(StringUtils::isNoneBlank).findFirst()
                    .ifPresent(param -> exchange.getRequest().mutate().headers(httpHeaders -> httpHeaders.set(Constants.APP_PARAM, param)).build()
            );
        }
        return Pair.of(Boolean.TRUE, "");
    }
    
    private Map<String, String> buildParamsMap(final SoulContext dto) {
        Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
        map.put(Constants.TIMESTAMP, dto.getTimestamp());
        map.put(Constants.PATH, dto.getPath());
        map.put(Constants.VERSION, "1.0.0");
        return map;
    }
}

总结

其实签名插件的核心逻辑比较简单,就是实现了 sign 、 verify等方法,再实现 SignService 接口的 signVerify函数完成整个签名的流程。如果有需要我们可以加入自己的签名校验逻辑,比如用JWT之类的来实现,只需要实现 SignService 接口的 signVerify 即可。

wicked_wings
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
soul网关-4-sign插件签名认证
nemointellego的专栏
01-18 1422
一个网关的下游是多个业务线,如果这些业务线都有鉴权的需求,那么可以使用网关的鉴权功能,没必要每个业务线都自己实现一套鉴权的代码。除非是与业务强相关的鉴权,是那种不具有普适性的需求。 soul网关的鉴权功能是在sign插件模块,作为一个插件,是可以启用或者不启用的。我们来看下soul网关sign模块的大致功能。 1.首先将环境启动一下,启动soul-admin管理后台、启动网关soul-bootstrap、启动示例的springboot项目soul-example-http 2.在admin管理后台的sign
soul网关源码解析-sign插件的使用
坚持需要成为习惯
02-05 197
soul-bootstrap项目pom文件引入jar包 <dependency> <groupId>org.dromara</groupId> <artifactId>soul-spring-boot-starter-plugin-sign</artifactId> <version>${project.version}</versi
Soul 学习笔记---使用 sign 插件(十八)
fightingting的博客
02-04 578
参考 soul 官方文档,sign插件 1.启动 soul-admin, 开启 sign 插件,添加 sign 插件的选择器和规则,这里和 divide 插件的一致 2.soul-bootstrap 引入依赖,启动 soul-bootstrap,启动 soul-examples-http <dependency> <groupId>org.dromara</groupId> <artifactId>soul-spring-boot-starte
Soul源码解析(18)-Soul网关sign插件使用
qq_38314459的博客
02-04 1195
一、目标 学习soul网关sign插件的使用; 二、内容 2.1 背景 sign插件soul网关自带的,用来对请求进行签名认证的插件; 2.2 sign插件使用 启动soul-admin服务,在 soul-admin -> 插件管理中 –> sign插件设置为开启; 在认证管理中,点击新增,新增一条 AK/SK。添加时会要求你选择在soul网关注册的下游服务及路径。 添加完毕后,我们可以看到AppKey 和加密密钥已经为我们生成好了: 在插件列表找到sign插件,新建选择
Soul网关源码阅读19-解析sign插件
xiaoxu的博客
02-06 604
sign插件soul网关自带的,用来对请求进行签名认证的插件,下面来解析一下sign插件。 一、环境搭建 soul-admin 开启 sign 插件:系统管理 --> 插件管理 soul-bootstrap soul-bootstrap/pom.xml <!-- soul sign plugin start--> <dependency> <groupId>org.dromara</groupId> <artif
Soul源码解析(19)-Soul网关sign插件源码解读
qq_38314459的博客
02-05 351
一、目标 1、解读Soul网关sign插件签名算法; 2、解读sign插件主要业务罗逻处理代码; 二、内容 2.1 背景 上一节,我们一起学习了sign插件的使用,体验了sign插件的主要功能,具体的使用流程可以参考: Soul源码解析(18)-Soul网关sign插件使用:https://blog.csdn.net/qq_38314459/article/details/113658890 2.2 SignPlugin插件分析 SignPlugin插件继承了AbstractSoulPlugin,这里核心的
soul响应式API网关-其他
06-12
soul是一个以Java进行开发的可扩展,高性能,响应式的API网关。功能特点:1、提供了诸如限流、熔断、转发和路由监控等插件;2、与HTTP、Restful、websocket、dubbo和springCloud无缝对接;3、支持热插拔,用户可以...
仿soul微信小程序源码
11-09
源码有点大,大概80多MB,这款版本据说价值2000,但是因为搭建太麻烦了,没有去研究如何搭建,所以源码是没有任何视频搭建教程的,只有一个简单的文本教程,有需要的可以自行研究如何搭建这款源码源码不提供任何...
soul API网关 v2.2.1
12-28
为您提供soul API网关下载,soul是一个以Java进行开发的可扩展,高性能,响应式的API网关。功能特点:1、提供了诸如限流、熔断、转发和路由监控等插件;2、与HTTP、Restful、websocket、dubbo和springCloud无缝对接...
springcloud项目+soul网关
06-11
2. Soul网关的配置和插件实现,可能包括自定义路由规则、过滤器等。 3. 服务启动脚本,用于启动微服务和Soul网关。 4. 项目文档,解释如何部署、运行和使用该项目。 5. 示例客户端或测试用例,演示如何调用微服务...
layui-高级表格-soul-table功能-HTML源码
10-02
本文将详细介绍layui-soul-table的功能及其HTML源码的使用方法。 首先,layui-soul-table的一大亮点是自定义表头。在传统的HTML表格中,表头通常固定不变,但在soul-table中,你可以根据需求自由调整表头样式、添加...
Soul网关源码学习(19)- 认证:SignPlugin
curePony
02-05 458
文章目录前言Ak/SK鉴权技术简介SignPlugin 的使用SignPlugin 源码分析总结 前言 在上一篇文章《Soul网关源码学习(18)- 防火墙:WafPlugin》中,我们学习了 WafPlugin 的使用,并且分析了其实现原理。那这一篇我们再来学习如何使用 suol 网关来进行签名认证。 Ak/SK鉴权技术简介 在介绍 SignPlugin 之前,有必要先简单介绍一下Ak/SK鉴权技术方案。在我们对接一些 PASS 平台和支付平台时,会要求我们预先生成一个 access key(AK) 和
soul网关系列(十六):sign、waf插件源码解读
坚持、死磕、重复
02-04 1405
sign和waf插件的配置验证和源码解读
Java 界最好的 API 网关 Soul
xiaoyaGrace的博客
04-14 653
soul网关发布2.1.0版本 (做Java界最好的API-Gateway) 这是soul网关开源以来的最大的一次更新,收集了很多社区反馈的问题,进行了更新. 之前的文档不是很完善,使用成本较高,这里先说声抱歉,这一个版本中,同时更新了相关文档. ...
Soul网关源码学习系列之【admin后台管理Ⅰ-login】
weixin_45577053的博客
02-03 813
soul-admin模块源码分析 用户登录 在登录页面点击登录,通过浏览器控制台可以看到请求的地址是http://localhost:9095/platform/login?userName={username}&password={pwd} 然后找到方法入口:这里通过dashboardUserService.login拿到一个返回的VO。 @GetMapping("/login") public SoulAdminResult loginDashboardUser(final S
Error:Skipped due to earlier error
热门推荐
Q 的博客
05-16 3万+
导入新项目编译遇到的问题:Error:Skipped due to earlier error 原因是:依赖下载失败 官网上的解释是因为超时的原因,跳过了对同一仓库的请求,这里就比较明显,其实就是代理的问题。 国内开发环境一直是一个比较大问题,开发得一直连着代理,但是由于可能公司有自己的内网maven,所以需要过滤掉内网的Host。但是我这个地方是过滤了的,但是不知道什么原因过滤失败了,...
报错{“msg“:“invalid token“,“code“:401}问题的解决
HaiBian_Ren的博客
11-09 2万+
报错{“msg”:“invalid token”,“code”:401}问题的解决: 解决办法:将精确的路由放在最上面,模糊的路由放在最下面,防止精确的路由被覆盖。
tesseract-ocr安装使用
最新发布
hey_lie的博客
12-13 1604
使用tesserac ocr 5版本,并在springboot项目中使用
Jenkins使用过程遇到的问题记录
weixin_30621919的博客
04-19 1万+
Jenkins管理员账号“登录信息无效请重试”的处理办法 刚开始安装的时候没有问题,去 \jenkins\secrets下找到initialAdminPassword这个文件 输入里面的密码就行 隔了一段时间登陆,登陆不上去了,这时候,可以去\jenkins\users\admin 这个目录下找到config.xml 可以看到里面的用户名是admin,密码还是 \jenkins...
"陌生人社交APP分析Soul与探探市场趋势与竞品对比
本文作者以Soul和探探为例,对陌生人社交APP进行了深入分析,旨在帮助读者更好地了解这一市场。 首先,市场概况部分介绍了社交产品的分类和特征,指出社交产品帮助用户建立社会关系链,根据用户关系链的强弱可分为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值