SpringCloud(三) 微服务安全实战 Zuul网关安全

最新推荐文章于 2023-04-04 17:04:20 发布
最新推荐文章于 2023-04-04 17:04:20 发布
阅读量286 收藏 1
点赞数
分类专栏: 后端开发(偏java向)经验交流 springcloud微服务安全框架 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy294636185/article/details/115468472
版权

微服务架构下的问题:

    安全处理和业务逻辑耦合,增加了复杂性和变更成本

    随着业务节点增加,认证服务器压力增大

    多个微服务同时暴露,增加了外部访问的复杂性

网关解决方案:

网关服务代码:

POM.xml:
        <!--         zuul网关相关       -->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-netflix-zuul</artifactId>
            <version>2.1.6.RELEASE</version>
        </dependency>
        <!--            end            -->
        <!--         限流相关       -->
        <dependency>
            <groupId>com.marcosbarbero.cloud</groupId>
            <artifactId>spring-cloud-zuul-ratelimit</artifactId>
            <version>2.2.4.RELEASE</version>
        </dependency>
        <!--            end            -->

    限流配置,网关配置:

qpplicatoin.yml:
zuul:
  routes:
    token:
      url: http://localhost:9090
    order:
      url: http://localhost:9080
#  敏感头 设置为空,所有请求都往后转发
  sensitive-headers:
#    限流配置
  ratelimit:
    enabled: true
    repository: JPA  #REDIS
    default-policy-list:   #默认限流策略
      - limit: 2  #请求数
        quota: 2  #加在一起请求的时间
        refresh-interval: 1  #1秒钟之内可以有几个请求
        type:  #根据什么来处理流量
          - url /a get
          - httpmethod
    policy-list:  #根据路由规则限流
      token:
        - limit: 2
          quota: 2
          refresh-interval: 1
          type:
spring:
  qpplication:
    name: gateway
  datasource:
    url: jdbc:mysql://localhost:3306/imooc-security?characterEncoding=utf-8
    username: root
    password: root
    driver-class-name: com.mysql.jdbc.Driver
  jpa:
    generate-ddl: true
    show-sql: true

server:
  port: 9070

    启动类:

/**
 * @author aric
 * @create 2021-04-07-17:59
 * @fun
 */
@SpringBootApplication
@EnableZuulProxy
public class GatewayServer {
    public static void main(String[] args) {
        SpringApplication.run(GatewayServer.class,args);
    }
}

    Token信息:

/**
 * @author aric
 * @create 2021-04-07-18:22
 * @fun
 */
@Data
public class TokenInfo {
    private boolean active;
    private String client_id;
    private String[] scope;
    private String user_name;
    //权限数组
    private String[] aud;
    //过期时间
    private Date exp;
    //用户所有的权限
    private String[] authorities;
}

三个(认证,日志,授权)网关配置:

    认证code:

/**
 * @author aric
 * @create 2021-04-07-18:07
 * @fun
 */
@Component
@Slf4j
public class OAuthFilter extends ZuulFilter {

    private RestTemplate restTemplate = new RestTemplate();

    //是否过滤
    @Override
    public boolean shouldFilter(){
        return true;
    }

    //业务逻辑
    @Override
    public Object run(){
        log.info("oauth start");
        RequestContext requestContext = RequestContext.getCurrentContext();
        HttpServletRequest request = requestContext.getRequest();
        if(StringUtils.startsWith(request.getRequestURI(),"/token")){
            //发往认证服务器的请求不需要认证
            return null;
        }
        //别的请求
        String authHeader = request.getHeader("Authorization");
        //没带请求头
        if(StringUtils.isBlank(authHeader)){
            return null;
        }
        //不是bearer开头的不用处理
        if(!StringUtils.startsWithIgnoreCase(authHeader,"bearer ")){
            return null;
        }
        try{
            TokenInfo info = getTokenInfo(authHeader);
            request.setAttribute("tokenInfo",info);
        } catch (Exception e){
            log.error("get token info fail",e);
        }
        return null;
    }

    private TokenInfo getTokenInfo(String authHeader) {
        //去掉头部信息,拿到token
        String token = StringUtils.substringAfter(authHeader,"bearer ");
        String oauthServiceUrl = "http://localhost:9090/oauth/check_token";
        //发请求
        HttpHeaders headers = new HttpHeaders();
        //规定发送的是表单
        headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
        //设置请求头BasicAuth信息
        headers.setBasicAuth("gateway","123465");
        //请求参数设置
        MultiValueMap<String,String> params = new LinkedMultiValueMap<String, String>();
        params.add("token",token);
        //设置返回实体
        HttpEntity<MultiValueMap<String,String>> entity = new HttpEntity<MultiValueMap<String,String>>(params,headers);
        ResponseEntity<TokenInfo> response = restTemplate.exchange(oauthServiceUrl, HttpMethod.POST,entity,TokenInfo.class);
        log.info("token info :" + response.getBody().toString());
        return response.getBody();
    }

    //过滤器类型,在之前or 之后 or 错误 or rout 时执行run方法
    @Override
    public String filterType(){
        return "pre";
    }

    //控制过滤器的执行顺序
    @Override
    public int filterOrder(){
        return 1;
    }

}

    日志code:

/**
 * @author aric
 * @create 2021-04-07-18:39
 * @fun
 */
@Component
@Slf4j
public class AuditLogFilter extends ZuulFilter {

    @Override
    public boolean shouldFilter(){
        return true;
    }

    @Override
    public Object run(){
        log.info("audit log insert");
        return null;
    }

    @Override
    public String filterType(){
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 2;
    }

}

    授权code:

/**
 * @author aric
 * @create 2021-04-07-18:43
 * @fun
 */
@Component
@Slf4j
public class AuthorizationFilter extends ZuulFilter {

    @Override
    public boolean shouldFilter(){
        return true;
    }

    @Override
    public Object run(){
        log.info("authorization start");
        RequestContext requestContext = RequestContext.getCurrentContext();
        HttpServletRequest request = requestContext.getRequest();
        //判断当前请求需要认证否?
        if(isNeedAuth(request)){
            TokenInfo tokenInfo = (TokenInfo)request.getAttribute("tokenInfo");
            if(tokenInfo != null && tokenInfo.isActive()){
                //拿到用户信息,判断是否有权限
                if(!hasPermission(tokenInfo,request)){
                    log.info("audit log update fail 403");
                    handlerError(403,requestContext);
                }
                requestContext.addZuulRequestHeader("username",tokenInfo.getUser_name());
            }else{
                //拿不到认证信息
                if(!StringUtils.startsWith(request.getRequestURI(),"/token")) {
                    log.info("audit log update fail 401");
                    handlerError(401, requestContext);
                }
            }
        }
        return null;
    }

    private boolean hasPermission(TokenInfo tokenInfo, HttpServletRequest request) {
        //随机50%成功
        return RandomUtils.nextInt()%2 == 0;
    }

    private void handlerError(int status, RequestContext requestContext) {
        requestContext.getResponse().setContentType("application/json");
        requestContext.setResponseStatusCode(status);
        requestContext.setResponseBody("{\"message\":\"auth fail\"}");
        requestContext.setSendZuulResponse(false);
    }

    private boolean isNeedAuth(HttpServletRequest request) {
        return true;
    }

    @Override
    public String filterType(){
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 3;
    }
}

扩展:

    自定义限流处理规则:

/**
 * @author aric
 * @create 2021-04-07-21:04
 * @fun  自定义限流规则
 */
@Component
public class MyKeyGen extends DefaultRateLimitKeyGenerator {

    public MyKeyGen(RateLimitProperties properties, RateLimitUtils rateLimitUtils) {
        super(properties, rateLimitUtils);
    }

    @Override
    public String key(HttpServletRequest request, Route route, RateLimitProperties.Policy policy){
        //在这里实现自己的限流规则
        return super.key(request,route,policy);
    }
}

    异常记录:

/**
 * @author aric
 * @create 2021-04-07-21:08
 * @fun 异常记录
 */
@Slf4j
public class MyRateLimitHandler extends DefaultRateLimiterErrorHandler {

    //往存储里存的时候的异常
    @Override
    public void handleSaveError(String key, Exception e) {
        log.error("Failed saving rate for " + key + ", returning unsaved rate", e);
    }

    @Override
    //往存储里取的时候的异常
    public void handleFetchError(String key, Exception e) {
        log.error("Failed retrieving rate for " + key + ", will create new rate", e);
    }

    @Override
    //限流过程中发生错误异常处理
    public void handleError(String msg, Exception e) {
        log.error(msg, e);
    }
}

 

xy294636185
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
作为站的唯一入口,控制权限,保证安全SpringCloud_Zuul
随风而欲的博客
12-07 876
为什么要学习关? 答:作为站的唯一入口,控制权限,保证安全 功能:控制权限(鉴权)、分发请求(动态路由) 前言:来模拟一个需要用关的场景 使用Spring Cloud实现微服务的架构基本成型,大致是这样的: 我们使用Spring Cloud Netflix中的Eureka实现了服务注册中心以及服务注册与发现;而服务间通过Ribbon或Feign实现服务的消费以及均衡负载;为了使得服务集...
微服务springcloudzuul安全和H
weixin_43439494的博客
11-07 284
Zuul安全与Header 1.敏感Header的设置 一般来说,可在同一个系统中的服务之间共享Header。不过应尽量防止让一些敏感的 Header外泄。因此,在很多场景下,需要通过为路由指定一系列敏感Header列表。例如: zuul: routes: users: path: /users/** sensitive-headers: Cookie,Set-Cookie,A...
SpringCloud微服务安全(三)关安全 3-6 Zuul关安全开发
喜欢历史的码农
10-20 191
微服务架构下的问题: 安全处理和业务逻辑耦合,增加了复杂性和变更成本 随着业务节点增加,认证服务器压力增大 多个微服务同时暴露,增加了外部访问的复杂性 1. 微服务环境 实际场景下,类似订单服务的服务,可能有几十个,每个服务是一个集群,有几十个节点,如下图, 1.1 当前微服务架构下的问题 问题1:安全处理和业务逻辑耦合,增加了复杂性和变更成本 在之前的架构中,订单服务 ,同时又是 资源服务器(如下图),订单服务需要知道认证服务器的地址,去校验令牌,通过token转换为用户信息。也..
Zuul关的安全策略
javaman_baicun 的博客
11-21 932
说到安全策略,首先我们要清楚一般的络攻击,例如XSS窃取信息、CSRF仿造请求、SQL注入模拟参数、DDos流量、资源攻击,而我们的Zuul,作为后端服务的入口,要保证安全,省去后端服务的安全处理。 1、关添加过滤器,针对不同络攻击方式,编写不同安全策略 2、XSS攻击->检查请求脚本,是否带XSS脚本,保存时进行转义 3、SQL注入->检查请求脚本,是否带SQL注入脚本,对格式,特殊符号进行处理 4、CSRF->添加token验证机制;请求是否带有ref...
SpringCloud微服务安全(三)关安全 3-1 概述
喜欢历史的码农
10-20 351
1. 概述: 微服务安全面临的挑战:介绍中小企业的一个微服务架构,相比第三章的单体应用的简单的API所面临的哪些挑战 OAuth2协议与微服务安全:介绍OAuth2中的各个角色,以及相互之间的关系,介绍具体的代码实现 微服务关安全:搭建关,安全中心,两个微服务,怎么将安全微服务中解耦出来放到关上,与OAuth协议联系起来解决微服务安全面临的新的挑战。 2. 微服务安全的新挑战 2.1 更多的入口点,更高的安全风险 单体应用,入口点只有一个,有一个Filter/Interceptor .
SpringCloud微服务快速入门实战课程【2020版】
06-17
SpringCloud是目前流行的微服务框架,在各大互联公司都有广泛的应用,同时在企业招聘面试时也会要求对微服务技术栈有所了解和掌握。SpringCloud是一套完整的微服务解决方案,基于SpringBoot框架。 本课程以通俗...
SpringCloud微服务核心技术精讲
06-17
本课程总计13大章节,115课时,是一门全面的SpringCloud微服务体系化课程。课程共包括十三个大章节,涵盖注册中心、关、熔断、降级、监控、安全、限流等全部体系。包含阿里巴巴Nacos,Consul,Spring Cloud ...
史上最全SpringCloud微服务视频教程教程
03-17
详细讲解  微服务技术架构概述 ...服务调用工具rest与fegin ...使用Zuul搭建服务关解决跨域问题 搭建SpringCloud分布式配置中心 服务雪崩效应解决办法  使用hystrix实现服务降级、熔断机制、解决雪崩效应
simplemall:基于SpringCloud微服务架构实战案例项目,以一个简单的购物流程为示例,融合spring cloud相关组件,如spring-cloud-netflix,swagger等
02-05
基于SpringCloud系统实现,简单购物流程实现,满足基本功能:注册,登录,商品列表展示,商品详情展示,订单创建,详情查看,订单支付,库存更新等等。 每个业务服务采用独立的MYSQL数据库,初期考虑用到如下组件: ...
SpringClouud zuul +oauth 实现权限控制
04-12
在Spring Cloud需要使用OAUTH2来实现多个微服务的统一认证授权,通过向OAUTH服务发送某个类型的grant type进行集中认证和授权,从而获得access_token,而这个token是受其他微服务信任的,我们在后续的访问可以通过access_token来进行,从而实现了微服务的统一认证授权。
格尔安全认证
09-23
格尔安全认证
GMT 0026-2014 安全认证关产品规范.PDF
05-18
GMT 0026-2014 安全认证关产品规范.PDF
基于security_oauth2 构建spring cloud关的安全认证服务
01-16
基于security_oauth2 构建spring cloud关的安全认证服务,使用数据库存储和动态请求连接过滤的方式,实现细粒度的url权限控制
格尔安全认证关用户手册
11-03
格尔安全认证关用户手册(user manual)
spring cloud : Zuul(过滤:安全、监控、限流、路由)
360linker
05-28 1385
单点搭建注意:蓝色虚线代表注册;绿色虚线代表调用、红色虚线代表心跳1.     添加依赖创建项目tcloud-gateway-zuulserver , pom.xml内容如下&lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xs...
Netflix学习笔记:Zuul
lxlong
01-01 388
Zuul 是在云平台上提供动态路由,监控,弹性,安全等边缘服务的框架。Zuul 相当于是设备和 Netflix 流应用的 Web 站后端所有请求的前门。Zuul 可以适当的对多个 Amazon Auto Scaling Groups 进行路由请求。 其架构如下图所示:  Zuul提供了一个框架,可以对过滤器进行动态的加载,编译,运行。过滤器之间没有直接的相互通信。他们是通过一个Reque...
安全认证关国密标准GMT0026-2014
ryanzzzzz的博客
04-04 1285
安全认证关是为应用系统服务的,在部署模式上有物理串联(必备)和物理并联(可选,且必须为应用提供鉴别用户是否经由关进行访问的技术手段)。(3)应用管理-对应用信息进行增删改查(三类:段、TCP/UDP应用、web应用-按照协议域名端口号和路径标识)。(2)身份鉴别-代理模式(IKE或握手阶段最终用户的身份鉴别)、调用模式(被调用时鉴别最终用户的证书及签名)。(1)用户管理-对访问的用户进行管理(用户增删改查、同步证书用户信息、角色分组)。(10)安全报文的传输,同ipsec、ssl协议。
微服务关SIA-GateWay安全认证使用文档
gao2175的博客
08-22 1607
安全认证流程 下图是关基本安全认证流程图,主要涉及API关认证服务器、API关和客户端及业务资源。业务资源方需要事先绑定关安全认证服务组件,并通过路由安全认证模块设置安全口令,才能使安全认证在路由资源生效。 路由资源管理安全码设置 路由资源Owner需要在关设置一个安全口令及安全口令的有效时间,然后在【组件管理】->【安全认证】中绑定路由与安全认证服务即可实现路由的安全认证服务。...
基于springcloud微服务的免费实战项目
最新发布
05-09
2. Spring Cloud微服务实战案例-基于Spring Cloud的实战教程,包含Eureka注册中心、Feign客户端、Hystrix熔断器、Zuul关等组件,以及Spring Boot Admin监控和ELK日志分析。 3. Spring Cloud微服务实战-基于Spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值