写点什么

SpringCloud Gateway 身份认证

发布于: 2020 年 09 月 19 日
SpringCloud Gateway 身份认证

使用 SpringCloud 技术栈搭建微服务集群,可以选择的组件比较多,由于有些组件已经闭源或停更,这里主要选用spring-cloud-alibaba作为我们的技术栈。


  • 服务注册与发现: nacos-discovery

  • 统一配置管理:nacos-config

  • 微服务网关:spring cloud gateway


由于 nacos 本身就已经是完备的服务,故参考官方文档直接安装使用就可以,这里重点介绍如何使用SpringCloud Gateway实现路由转发和身份认证。


一、微服务架构



  1. 所有的请求先通过nginx进行负载和转发

  2. API Gateway负责进行微服务内的路由转发和身份认证


二、实现路由转发


1. 引入 gateway 包

<dependency>    <groupId>org.springframework.cloud</groupId>    <artifactId>spring-cloud-starter-gateway</artifactId></dependency>
复制代码


需要注意的是:如果启动时报错,提示在依赖中发现的 springMvc 与 gateway 不能兼容,需要删除spring-boot-starter-web相关引用


**********************************************************
Spring MVC found on classpath, which is incompatible with Spring Cloud Gateway at this time. Please remove spring-boot-starter-web dependency.
**********************************************************
复制代码


2. 添加启动类


@EnableDiscoveryClient@SpringBootApplicationpublic class GatewayApplication {
public static void main(String[] args) { SpringApplication.run(GatewayApplication.class, args); }}
复制代码


  • @EnableDiscoveryClient 用于集群下的服务注册与发现


3. 配置路由表


配置文件最好选用 YAML,结构清晰易读


spring:  application:    name: cloud-api #服务名  cloud:    nacos:      discovery:        server-addr: 127.0.0.1:8848 # nacos服务器地址    gateway:      routes:        - id: cloud-user          uri: lb://cloud-user  # 后端服务名          predicates:            - Path=/user/**   # 路由地址          filters:            - StripPrefix=1 # 去掉前缀
server: port: 8000
# 用于actuator暴露监控指标management: endpoints: web: exposure: include: "*"
复制代码


  • StripPrefix=1 用于在路由转发时去掉前缀地址,若无则将前缀一起转发给后端服务,比如:

请求地址为:http://localhost:8000/user/home

在没有加StripPrefix时,转发给后端服务地址为:http://{cloud-user}/user/home,否则为 http://{cloud-user}/home


  • management 配置用于暴露监控指标,可请求 http://localhost:8000/actuator/gateway/routes 获取所有的映射路由


三、实现身份认证

在分布式系统中有三种常用的身份认证方式:


1.使用 Session,可使用spring security来实现 Session 的管理 ,使用 redis 来存储会话状态,客户端的 sessionID 需要 cookie 来存储



优点


  • 使用方便,客户端无感知

  • 安全性高

  • 会话管理支持较好


缺点


  • 对客户端应用支持不友好

  • 无法实现跨站跨端共享

  • 实现方式相对复杂

  • 需要客户端 Cookie 支持


2.使用 Token,由服务端签发,并将用户信息存储在 redis 中,客户端每次请求都带上进行验证



优点


  • 对多端共享支持友好

  • 对多端共享会话支持友好

  • 实现方式相对简单

  • 安全性高

  • 无须 Cookie 支持


缺点


  • 会话过期时间维护较复杂

  • 服务端需要维持会话状态


3.使用 JWT,由服务端签发且不保存会话状态,客户端每次请求都需要验证合法性



优点


  • 对多端共享支持友好

  • 对多端共享会话支持友好

  • 服务端无会话状态

  • 无须 Cookie 支持

  • 可携带载荷数据


缺点


  • 会话过期时间维护较复杂

  • 默认情况下,安全性较低

  • 一旦签发无法撤销,或撤销较复杂


----


简单 token 验证


本例子的 token 是 uuid 生成随机码的方式,没有使用算法做验证,这样有可能导致客户端穷举 token,不断查询 redis 造成风险。在生产环境中可使用一定算法进行 token 签发(如加密解密,有效时间戳等),保证伪造 token 对服务器的影响降到最低。


1. 用户登陆保存 session 状态

@Servicepublic class Session {
@Autowired private RedisTemplate<String, String> redisTemplate;
Long expireTime = 10800L;
/** * 保存session * @param loginUser */ public void saveSession(LoginUser loginUser) { String key = String.format("login:user:%s", loginUser.userToken);
redisTemplate.opsForValue().set(key, JSON.toJSONString(loginUser), expireTime, TimeUnit.SECONDS); }
/** * 获取session * @param token * @return */ public LoginUser getSession(String token){ String key = String.format("login:user:%s", token);
String s = redisTemplate.opsForValue().get(key); if (Strings.isEmpty(s)){ return null; }
return JSON.parseObject(s, LoginUser.class); }}
复制代码

保存会话状态时,需要设置过期时间,且不宜过长或过短。如进一步思考如何刷新会话过期时间。


2. 增加*AuthCheckFilter*,拦截路由请求

@Slf4j@Componentpublic class AuthCheckFilter extends AbstractGatewayFilterFactory {
@Autowired private Session session;
@Override public GatewayFilter apply(Object config) { return (exchange, chain) -> {
ServerHttpRequest request = exchange.getRequest(); ServerHttpResponse response = exchange.getResponse();
// 1. 获取token String token = request.getHeaders().getFirst("token");
log.info("当前请求的url:{}, method:{}", request.getURI().getPath(), request.getMethodValue());
if (Strings.isEmpty(token)) { response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); }
// 2. 验证用户是否已登陆 LoginUser loginUser = this.session.getSession(token); if (loginUser == null) { response.setStatusCode(HttpStatus.UNAUTHORIZED); return response.setComplete(); }
// 3. 将用户名传递给后端服务 ServerWebExchange build; try { ServerHttpRequest host = exchange.getRequest().mutate() .header("X-User-Name", loginUser.userName) // 中文字符需要编码 .header("X-Real-Name", URLEncoder.encode(loginUser.realName, "utf-8")) .build(); build = exchange.mutate().request(host).build(); } catch (UnsupportedEncodingException e) { build = exchange; }
return chain.filter(build); };
}}
复制代码


此拦截器作用为验证请求是否已登陆,否则返回401状态,并将用户会话信息传递给后端服务。


3. 配置 Filter

在 gateway 项目的 yml 配置文件中配置需要进行验证的路由 filters: AuthCheckFilter

spring:    gateway:      routes:        - id: cloud-user          uri: lb://cloud-user  # 后端服务名          predicates:            - Path=/user/**   # 路由地址          filters:            - name: AuthCheckFilter     #会话验证            - StripPrefix=1 # 去掉前缀
复制代码


由此就实现了对后端路由地址的身份验证功能


三、完整代码

https://gitee.com/hypier/barry-cloud


请关注我的公众号


用户头像

还未添加个人签名 2019.07.10 加入

还未添加个人简介

评论

发布
暂无评论
SpringCloud Gateway 身份认证