對於微服務網關來說,統一請求驗證是一個比較重要和常用的功能,通過網關驗證後臺服務就無須關注請求驗證;對於多語言平臺的服務而言制定驗證方式和變更驗證配置都是一件比較繁瑣和工作量大的事情。Bumblebee
提供JWT
驗證插件,只需要簡單配置即可讓網關實現請求統一驗證。
引用插件
Bumblebee
中使用JWT
需要引用兩個插件,分別是Bumblebee.Configuration
和Bumblebee.Jwt
。加載啓動後就可以通過管理工具進行插件配置.
g = new Gateway(); g.HttpOptions( o => { o.Port = 80; o.LogToConsole = true; o.LogLevel = BeetleX.EventArgs.LogType.Error; }); g.Open(); g.LoadPlugin( typeof(Bumblebee.Configuration.Management).Assembly, typeof(Bumblebee.Jwt.JwtPlugin).Assembly );
如果不想自己編寫代碼可以下載編譯的運行包 Bumblebee1.0.6這個版本已經加入了JWT
插件管理
運行程序後進行配置管理工具的插件管理頁面,可以看到JWT
插件,默認是未啓用。
數據庫配置
Bumblebee.Jwt
的使用需要用到數據庫,主要用於接管登陸並生成Token
用。插件默認支持三種數據庫,分別是:mssql
,mysql
和pgsql
.相關登陸信息表必須包括以下三個字段:_name
(用戶名),_role
(角色)和_password
(密碼).mysql腳本如下:
CREATE TABLE `_users` ( `_name` varchar(50) NOT NULL, `_password` varchar(45) DEFAULT NULL, `_role` varchar(45) DEFAULT NULL, PRIMARY KEY (`_name`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;
JWT配置
插件使用需要進行配置,可以通過點擊插件進入相關配置頁面。
示例配置如下:
{ "Key": "ExxUqmeDKnAk1eMHV02ICJkwp82RsleM887yRnQS3Gg8OHCxWsLPlzCEAJActCo6y6Mae26JeGDFx7aYkeP7Efl6yh/d1q3XYRCdDLLGbz+kt3vR92H6s78P7JILNgZMiO6XoekKXfT2Qxle7Gyu/1d39NloKhqXgBdgzeobyyo=", "MD5": false, "DBType": "MYSQL", "ConnectionString": "Server=192.168.2.19;Database=world;Uid=root;Pwd=123456;", "VerifyPaths": [ "^/api.*" ], "Table": "_users", "TokenTimeOut": 200, "RemoveHeaders": [ "Cookie" ], "LoginMaxRps": 200 }
-
Key
JWT處理密鑰 -
MD5
是否要把密碼轉MD5再查詢 -
DBType
數據類型,分別:MSSQL,MYSQL,PGSQL -
ConnectionString
數據庫連接字符串 -
VerifyPaths
需要驗證的路徑列表,正則表達式。 -
Table
用戶表名稱 -
TokenTimeOut
憑證超時時間,單位是分鐘 -
RemoveHeaders
轉發時移走頭列表 -
LoginMaxRps
登陸限制,每秒允許併發數,如果設置成零則不限.使用中建議設置一個併發限制,畢竟這個操作涉及到數據庫IO處理,容易被惡意調用損耗網關性能。
JWT相關訪問接口
-
http://host/__system/jwt/login?name=henry&pwd=123456&cookie=true
登陸獲取Token
訪問Url,cookie
參數表示返回Token
並寫入Cookie
-
http://host/__system/jwt/singout
清除Cookie
相應的Token
信息.
請求Token配置
如果在調用登陸的時候寫入了Cookie
那在請求過程中不再需要配置相關Token
信息.在其他調用方式下需要把返回的Token
配置到請求頭的Authorization
上。
應用示例
直接下來用aspcore
編寫一個webapi
服務然後用Bumblebee
進行一個代理並設置安全控制訪問。
public class ApiController : Controller { // GET: /<controller>/ public IActionResult Index() { return new ContentResult { Content = $"{DateTime.Now}|name:{Request.Headers["jwt_user"]};role:{Request.Headers["jwt_role"]}" }; } public IActionResult Hello(string name) { return new ContentResult { Content = $"hello {name} {DateTime.Now}|name:{Request.Headers["jwt_user"]};role:{Request.Headers["jwt_role"]}" }; } }
服務啓動的地址是http://localhost:58387/
,在網關配置相關路由
當JWT
驗證關閉後可以正常訪問服務
由於沒有經過網關的驗證,所以jwt_user
和jwt_role
信息爲空。如果開啓JWT
驗證又會怎樣呢?
下面是開啓的運行結果
由於請求沒有憑證信息,所以被網關攔截並返回了相應的錯誤。接下來先訪問一下登陸接口並獲取憑證http://localhost/__system/jwt/login?name=henry&pwd=123456&cookie=true
,當憑證獲取後就可以訪問服務。
返回的結果可以正常獲取jwt_user
和jwt_role
信息,因爲網關開啓jwt後把相關登陸憑讓寫入到相關信息頭傳入到相應的服務中。