Spring cloud微服务安全实战-4-10Zuul网关安全开发
Posted 青春是课桌下风干的鼻屎,是借了不还的直尺。
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring cloud微服务安全实战-4-10Zuul网关安全开发相关的知识,希望对你有一定的参考价值。
首先把地址给它
发送post请求,请求的数据就是这个entity对象。
最后返回的值要封装到TokenInfo里面
如果一切正常的话就会拿到一个响应的实体,实体里面就包含了TokenInfo
打印实体到控制台。最终返回response的body
审计日志
跟在Oauth的过滤器后面 所以这里是2
模拟进来的时候插入一条数据。
授权的过滤器
授权的过滤器稍微复杂一点。要把主干逻辑写一下
判断当前的请求是不是需要身份认证,或者是需不需要做权限的判断。
生成isNeedAuth
拿到tokenInfo
之前在OAuth的Filter里面认证成功后 设置了Attribute
不为空且是 激活状态的
没有拿到认证的信息 就写个日志,处理错误。
处理一个401的错误。
能拿到用户信息,下一步就要判断权限。如果没有权限那么就报403的错误。
生成一个随即的整数 和2 取模,只有两种情况,一种是1 一种是0. 也就是有有50%可能被 403状态码拒掉。 50%的可能性会通过。
handlerError
最终要返回json的ContentType
相应的状态码
处理小bug
token的请求不做认证,token请求永远不会有tokenInfo
如果请求的URI不是以/token开头的
另外一个修复。这里是一个变量,而不是一个写死的字符串。
先不写限流,限流一会单独说。
启动服务测试
启动gateway
启动orderAPI
先去拿token
用拿到的token调用,创建订单的方法
是有一半的几率的。
故意把令牌改成错的
错误的令牌报401
不传令牌
50%的几率,调用正常。
说明我们现在写的业务逻辑时生效的,我们在网关这 把权限控制了。现在就可以把订单服务里面和安全相关的逻辑去掉。包括先关的代码
这些逻辑去掉后,我们之前说的那些问题。比如说安全的逻辑和业务逻辑耦合,安全逻辑一遍导致业务逻辑重新部署,包括随着业务接节点增加,你们安全信息也在这里面。业务节点节点增加。认证服务器压力增大等等这些问题。都被解决掉了
去掉订单服务安全的相关代码
首先去掉Oauth2的依赖。
所有和安全相关的代码都删掉。
当前用户的信息使用这个注解来拿到的。现在这个注解依赖都被删掉了 那么如何拿到当前用户的信息
比如我想拿到用户名,那么用户信息从哪里来。从RequestHeader里面
在网关授权往下走的之前 ,设置header。这里也可以传json对象,
启动测试
启动oderApi和网关
还是调这个创建订单的服务,要多试几次,因为是50%的几率是200
来看一下orderAPI的日志
拿到用户信息。但是用户信息是放在请求头里传的是一个明文
后面还会讲一些方案,在服务之间传递用户信息。
结束
以上是关于Spring cloud微服务安全实战-4-10Zuul网关安全开发的主要内容,如果未能解决你的问题,请参考以下文章
Spring Cloud微服务安全实战_4-1_微服务网关安全_概述&微服务安全面临的挑战
Spring Cloud微服务安全实战_6-1_微服务之间的通讯安全之概述