您好,登錄后才能下訂單哦!
這篇文章主要講解了“SpringCloud Alibaba微服務(wù)實(shí)戰(zhàn)之如何禁止直接訪問后端服務(wù)”,文中的講解內(nèi)容簡單清晰,易于學(xué)習(xí)與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學(xué)習(xí)“SpringCloud Alibaba微服務(wù)實(shí)戰(zhàn)之如何禁止直接訪問后端服務(wù)”吧!
前言
使用SpringCloud架構(gòu)后我們希望所有的請求都需要經(jīng)過網(wǎng)關(guān)才能訪問,在不作任何處理的情況下我們是可以繞過網(wǎng)關(guān)直接訪問后端服務(wù)的。如下,我們繞過網(wǎng)關(guān)直接訪問后端服務(wù)也是可以獲取到數(shù)據(jù)的。
那我們今天的議題就是 如何防止請求繞過網(wǎng)關(guān)直接訪問后端服務(wù)?
解決方案
我覺得防止繞過網(wǎng)關(guān)直接請求后端服務(wù)的解決方案主要有三種:
使用Kubernetes部署
在使用Kubernetes部署SpringCloud架構(gòu)時我們給網(wǎng)關(guān)的Service配置NodePort,其他后端服務(wù)的Service使用ClusterIp,這樣在集群外就只能訪問到網(wǎng)關(guān)了。
網(wǎng)絡(luò)隔離
后端普通服務(wù)都部署在內(nèi)網(wǎng),通過防火墻策略限制只允許網(wǎng)關(guān)應(yīng)用訪問后端服務(wù)。
應(yīng)用層攔截
請求后端服務(wù)時通過攔截器校驗(yàn)請求是否來自網(wǎng)關(guān),如果不來自網(wǎng)關(guān)則提示不允許訪問。
這里我們著重關(guān)注在應(yīng)用層攔截這種解決方案。
實(shí)現(xiàn)思路
實(shí)現(xiàn)思路其實(shí)也很簡單,在請求經(jīng)過網(wǎng)關(guān)的時候給請求頭中增加一個額外的Header,在后端服務(wù)中寫一個攔截器,判斷請求頭是否與在網(wǎng)關(guān)設(shè)置的請求Header一致,如果不一致則不允許訪問并給出提示。
當(dāng)然為了防止在每個后端服務(wù)都需要編寫這個攔截器,我們可以將其寫在一個公共的starter中,讓后端服務(wù)引用即可。而且為了靈活,可以通過配置決定是否只允許后端服務(wù)訪問。
接下來我們看看核心代碼。(代碼中涉及 SpringBoot 編寫公共Starter的套路,相信看過我博客的同學(xué)肯定是會的,因?yàn)橹拔恼掠性敿?xì)說過。)
實(shí)現(xiàn)過程
在網(wǎng)關(guān)cloud-gateway模塊編寫網(wǎng)關(guān)過濾器
@Component @Order(0) public class GatewayRequestFilter implements GlobalFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes()); String[] headerValues = {new String(token)}; ServerHttpRequest build = exchange.getRequest() .mutate() .header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues) .build(); ServerWebExchange newExchange = exchange.mutate().request(build).build(); return chain.filter(newExchange); } }
在請求經(jīng)過網(wǎng)關(guān)時添加額外的Header,為了方便這里直接設(shè)置成固定值。
建立公共Starter模塊cloud-component-security-starter
編寫配置類,用于靈活控制服務(wù)是否允許繞過網(wǎng)關(guān)
@Data @ConfigurationProperties(prefix = "javadaily.cloud") public class CloudSecurityProperties { /** * 是否只能通過網(wǎng)關(guān)獲取資源 * 默認(rèn)為True */ private Boolean onlyFetchByGateway = Boolean.TRUE; }
編寫攔截器,用于校驗(yàn)請求是否經(jīng)過網(wǎng)關(guān)
public class ServerProtectInterceptor implements HandlerInterceptor { private CloudSecurityProperties properties; @Override public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){ if (!properties.getOnlyFetchByGateway()) { return true; } String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER); String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes())); if (StringUtils.equals(gatewayToken, token)) { return true; } else { ResultData<String> resultData = new ResultData<>(); resultData.setSuccess(false); resultData.setStatus(HttpServletResponse.SC_FORBIDDEN); resultData.setMessage("請通過網(wǎng)關(guān)訪問資源"); WebUtils.writeJson(response,resultData); return false; } } public void setProperties(CloudSecurityProperties properties) { this.properties = properties; } }
配置攔截器
public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer { private CloudSecurityProperties properties; @Autowired public void setProperties(CloudSecurityProperties properties) { this.properties = properties; } @Bean public HandlerInterceptor serverProtectInterceptor() { ServerProtectInterceptor interceptor = new ServerProtectInterceptor(); interceptor.setProperties(properties); return interceptor; } @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(serverProtectInterceptor()); } }
編寫starter裝載類
@EnableConfigurationProperties(CloudSecurityProperties.class) public class CloudSecurityAutoConfigure{ @Bean public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() { return new CloudSecurityInterceptorConfigure(); } }
建立資源文件spring.factories,配置Bean的自動加載
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\ com.javadaily.component.security.configure.CloudSecurityAutoConfigure
在后端服務(wù)配置文件中添加屬性配置,默認(rèn)只能通過網(wǎng)關(guān)訪問
javadaily: cloud: onlyFetchByGateway: true
經(jīng)過以上幾步,一個公共的Starter模塊就構(gòu)建完成了。
后端服務(wù)引用此公共Starter模塊即可,以account-service為例
<dependency> <groupId>com.jianzh6.cloud</groupId> <artifactId>cloud-component-security-starter</artifactId> </dependency>
實(shí)現(xiàn)效果
直接訪問后端服務(wù)接口
http://localhost:8010/account/getByCode/jianzh6
返回結(jié)果:
"message": "請通過網(wǎng)關(guān)訪問資源", "status": 403, "success": false, "timestamp": 1611660015830 }
感謝各位的閱讀,以上就是“SpringCloud Alibaba微服務(wù)實(shí)戰(zhàn)之如何禁止直接訪問后端服務(wù)”的內(nèi)容了,經(jīng)過本文的學(xué)習(xí)后,相信大家對SpringCloud Alibaba微服務(wù)實(shí)戰(zhàn)之如何禁止直接訪問后端服務(wù)這一問題有了更深刻的體會,具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云,小編將為大家推送更多相關(guān)知識點(diǎn)的文章,歡迎關(guān)注!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。