前面十讲左右是在讲网关,路由。拦截日志,监控,限流,熔断,鉴权等等,但如果我不走网关直接调用后台也是行的通的。

使用SpringCloud架构后我们希望所有的请求都需要经过网关才能访问,在不作任何处理的情况下我们是可以绕过网关直接访问后端服务的。

我们希望所有的请求都需要经过网关才能访问。那么问题来了,如何进行处理呢?

我们今天的议题就是 如何防止请求绕过网关直接访问后端服务?

解决方案

防止绕过网关直接请求后端服务的解决方案主要有三种:

  • 使用Kubernetes部署

在使用Kubernetes部署SpringCloud架构时我们给网关的Service配置NodePort,其他后端服务的Service使用ClusterIp,这样在集群外就只能访问到网关了。

  • 网络隔离

后端普通服务都部署在内网,通过防火墙策略限制只允许网关应用访问后端服务。

  • 应用层拦截

请求后端服务时通过拦截器校验请求是否来自网关,如果不来自网关则提示不允许访问。

作为一个后端开发人员,前面运维处拦截。代码也要进行拦截!

这里我们着重关注在应用层拦截这种解决方案,顺便温习一下最常用的stater。

实现思路

实现思路其实也很简单,在请求经过网关的时候给请求头中增加一个额外的Header,在后端服务中写一个拦截器,判断请求头是否与在网关设置的请求Header一致,如果不一致则不允许访问并给出提示。

当然为了防止在每个后端服务都需要编写这个拦截器,我们可以将其写在一个公共的starter中,让后端服务引用即可。而且为了灵活,可以通过配置决定是否只允许后端服务访问。

接下来我们看看核心代码。

实现过程

在网关cloud-gateway模块编写网关过滤器,过滤器定义可看前面几讲,在请求经过网关时添加额外的Header,为了方便这里直接设置成固定值。如何做成动态值,可看前面文章都有说明!

@Component 
@Order(0) 
public class GatewayRequestFilter implements GlobalFilter { 
 
    @Override 
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { 
        byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes()); 
        String[] headerValues = {new String(token)}; 
        ServerHttpRequest build = exchange.getRequest() 
                .mutate() 
                .header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues) 
                .build(); 
 
        ServerWebExchange newExchange = exchange.mutate().request(build).build(); 
        return chain.filter(newExchange); 
    } 
 
}

建立公共Starter模块cloud-component-security-starter

  • 编写配置类,用于灵活控制服务是否允许绕过网关
@Data 
@ConfigurationProperties(prefix = "javadaily.cloud") 
public class CloudSecurityProperties { 
 
    /** 
     * 是否只能通过网关获取资源 
     * 默认为True 
     */ 
    private Boolean onlyFetchByGateway = Boolean.TRUE; 
 
}
  • 编写拦截器,用于校验请求是否经过网关
public class ServerProtectInterceptor implements HandlerInterceptor { 
 
    private CloudSecurityProperties properties; 
 
    @Override 
    public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){ 
 
        if (!properties.getOnlyFetchByGateway()) { 
            return true; 
        } 
 
        String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER); 
 
        String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes())); 
 
        if (StringUtils.equals(gatewayToken, token)) { 
            return true; 
        } else { 
            ResultData<String> resultData = new ResultData<>(); 
            resultData.setSuccess(false); 
            resultData.setStatus(HttpServletResponse.SC_FORBIDDEN); 
            resultData.setMessage("请通过网关访问资源"); 
            WebUtils.writeJson(response,resultData); 
            return false; 
        } 
    } 
 
    public void setProperties(CloudSecurityProperties properties) { 
        this.properties = properties; 
    } 
}
  • 配置拦截器
public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer { 
 
    private CloudSecurityProperties properties; 
 
    @Autowired 
    public void setProperties(CloudSecurityProperties properties) { 
        this.properties = properties; 
    } 
 
    @Bean 
    public HandlerInterceptor serverProtectInterceptor() { 
        ServerProtectInterceptor interceptor = new ServerProtectInterceptor(); 
        interceptor.setProperties(properties); 
        return interceptor; 
    } 
 
    @Override 
    public void addInterceptors(InterceptorRegistry registry) { 
        registry.addInterceptor(serverProtectInterceptor()); 
    } 
}
  • 编写starter装载类
@EnableConfigurationProperties(CloudSecurityProperties.class) 
public class CloudSecurityAutoConfigure{ 
 
    @Bean 
    public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() { 
        return new CloudSecurityInterceptorConfigure(); 
    } 
 
}
  • 建立资源文件spring.factories,配置Bean的自动加载
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\ 
   com.javadaily.component.security.configure.CloudSecurityAutoConfigure
  • 应用 在后端服务配置文件中添加属性配置,默认只能通过网关访问
javadaily: 
  cloud: 
    onlyFetchByGateway: true

  • 经过以上几步,一个公共的Starter模块就构建完成了。

    后端服务引用此公共Starter模块即可,以account-service为例

<dependency> 
 <groupId>com.jianzh5.cloud</groupId> 
 <artifactId>cloud-component-security-starter</artifactId> 
</dependency>

 

Logo
Cloudpods

开源、云原生的融合云平台

更多推荐

面向未来的 IT 基础设施管理架构——融合云(Unified IaaS)

随着数字化时代的到来,IT系统已成为人类社会正常运转不可或缺的组成部分。不远的未来,智能制造,5G和人工智能等技术将成为推动生产力发展的重要引擎,人类社会将面临前所未有的全面彻底的数字化浪潮。IT基础设施作为IT系统运行的平台和载体,是实现数字化的基石。在这场数字化浪潮中,企业必须积极拥抱云计算技术,采用符合技术发展趋势、面向未来的IT基础构架,才能在未来的竞争中赢得先机。 一、云计算历经十余年

avatar Cloudpods

Cloudpods负载均衡的功能介绍

作者:周有松 今天的内容会从以下几个方面展开: 负载均衡产品简介。主要介绍负载均衡作为一个云上产品,它的功能模型是怎样的,日常使用中会遇到的业务词汇负载均衡的功能与典型应用场景。这部分主要结合业务词汇,对负载均衡服务中常见的一些功能选项进行介绍,并举例介绍一些典型的应用场景最后,我们做一下总结,讨论一下负载均衡产品相比传统方式的优点 一、产品简介​ 1. 以NGINX为例​ 提到负载均衡,我们以

avatar Cloudpods

使用Linux vfio将Nvidia GPU透传给QEMU虚拟机

Linux 上虚拟机 GPU 透传需要使用 vfio 的方式。主要是因为在 vfio 方式下对虚拟设备的权限和 DMA 隔离上做的更好。但是这么做也有个缺点,这个物理设备在主机和其他虚拟机都不能使用了。 qemu 直接使用物理设备本身命令行是很简单的,关键在于事先在主机上对系统、内核和物理设备的一些配置。 单纯从 qemu 的命令行来看,其实和普通虚拟机启动就差了最后那个-device的选项。这

avatar Cloudpods