前言
使用SpringCloud架構後我們希望所有的請求都需要經過網關才能訪問,在不作任何處理的情況下我們是可以繞過網關直接訪問後端服務的。如下,我們繞過網關直接訪問後端服務也是可以獲取到數據的。
那我們今天的議題就是 如何防止請求繞過網關直接訪問後端服務?
解決方案
我覺得防止繞過網關直接請求後端服務的解決方案主要有三種:
-
使用Kubernetes部署
在使用Kubernetes部署SpringCloud架構時我們給網關的Service配置NodePort,其他後端服務的Service使用ClusterIp,這樣在集羣外就只能訪問到網關了。
-
網絡隔離
後端普通服務都部署在內網,通過防火牆策略限制只允許網關應用訪問後端服務。
-
應用層攔截
請求後端服務時通過攔截器校驗請求是否來自網關,如果不來自網關則提示不允許訪問。
這裏我們着重關注在應用層攔截這種解決方案。
實現思路
實現思路其實也很簡單,在請求經過網關的時候給請求頭中增加一個額外的Header,在後端服務中寫一個攔截器,判斷請求頭是否與在網關設置的請求Header一致,如果不一致則不允許訪問並給出提示。
當然爲了防止在每個後端服務都需要編寫這個攔截器,我們可以將其寫在一個公共的starter中,讓後端服務引用即可。而且爲了靈活,可以通過配置決定是否只允許後端服務訪問。
接下來我們看看核心代碼。(代碼中涉及 SpringBoot 編寫公共Starter的套路,相信看過我博客的同學肯定是會的,因爲之前文章有詳細說過。)
實現過程
-
在網關 cloud-gateway
模塊編寫網關過濾器
@Component
@Order(0)
public class GatewayRequestFilter implements GlobalFilter {
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes());
String[] headerValues = {new String(token)};
ServerHttpRequest build = exchange.getRequest()
.mutate()
.header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues)
.build();
ServerWebExchange newExchange = exchange.mutate().request(build).build();
return chain.filter(newExchange);
}
}
在請求經過網關時添加額外的Header,爲了方便這裏直接設置成固定值。
-
建立公共Starter模塊 cloud-component-security-starter
-
編寫配置類,用於靈活控制服務是否允許繞過網關
@Data
@ConfigurationProperties(prefix = "javadaily.cloud")
public class CloudSecurityProperties {
/**
* 是否只能通過網關獲取資源
* 默認爲True
*/
private Boolean onlyFetchByGateway = Boolean.TRUE;
}
-
編寫攔截器,用於校驗請求是否經過網關
public class ServerProtectInterceptor implements HandlerInterceptor {
private CloudSecurityProperties properties;
@Override
public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){
if (!properties.getOnlyFetchByGateway()) {
return true;
}
String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER);
String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes()));
if (StringUtils.equals(gatewayToken, token)) {
return true;
} else {
ResultData<String> resultData = new ResultData<>();
resultData.setSuccess(false);
resultData.setStatus(HttpServletResponse.SC_FORBIDDEN);
resultData.setMessage("請通過網關訪問資源");
WebUtils.writeJson(response,resultData);
return false;
}
}
public void setProperties(CloudSecurityProperties properties) {
this.properties = properties;
}
}
-
配置攔截器
public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer {
private CloudSecurityProperties properties;
@Autowired
public void setProperties(CloudSecurityProperties properties) {
this.properties = properties;
}
@Bean
public HandlerInterceptor serverProtectInterceptor() {
ServerProtectInterceptor interceptor = new ServerProtectInterceptor();
interceptor.setProperties(properties);
return interceptor;
}
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(serverProtectInterceptor());
}
}
-
編寫starter裝載類
@EnableConfigurationProperties(CloudSecurityProperties.class)
public class CloudSecurityAutoConfigure{
@Bean
public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() {
return new CloudSecurityInterceptorConfigure();
}
}
-
建立資源文件spring.factories,配置Bean的自動加載
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
com.javadaily.component.security.configure.CloudSecurityAutoConfigure
-
在後端服務配置文件中添加屬性配置,默認只能通過網關訪問
javadaily:
cloud:
onlyFetchByGateway: true
經過以上幾步,一個公共的Starter模塊就構建完成了。
-
後端服務引用此公共Starter模塊即可,以 account-service
爲例
<dependency>
<groupId>com.jianzh5.cloud</groupId>
<artifactId>cloud-component-security-starter</artifactId>
</dependency>
實現效果
直接訪問後端服務接口 http://localhost:8010/account/getByCode/jianzh5
返回結果:
{
"message": "請通過網關訪問資源",
"status": 403,
"success": false,
"timestamp": 1611660015830
}
以上,希望對你有所幫助!
乾貨分享
這裏爲大家準備了一份小小的禮物,關注公衆號,輸入如下代碼,即可獲得百度網盤地址,無套路領取!
001:《程序員必讀書籍》
002:《從無到有搭建中小型互聯網公司後臺服務架構與運維架構》
003:《互聯網企業高併發解決方案》
004:《互聯網架構教學視頻》
006:《SpringBoot實現點餐系統》
007:《SpringSecurity實戰視頻》
008:《Hadoop實戰教學視頻》
009:《騰訊2019Techo開發者大會PPT》
010: 微信交流羣
近期熱文top
我就知道你“在看”
本文分享自微信公衆號 - JAVA日知錄(javadaily)。
如有侵權,請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。