SpringCloud 实战：禁止直接访问后端服务

前言

解决方案

• 使用 Kubernetes 部署

  在使用 Kubernetes 部署 SpringCloud 架构时，我们给网关的 Service 配置 NodePort，其他后端服务的 Service 使用 ClusterIp，这样在集群外就只能访问到网关了。
• 网络隔离

  后端普通服务都部署在内网，通过防火墙策略限制只允许网关应用访问后端服务。
• 应用层拦截

  请求后端服务时通过拦截器校验请求是否来自网关，如果不来自网关则提示不允许访问。

实现

实现过程

在网关 cloud-gateway 模块编写网关过滤器

@Component@Order(0)public class GatewayRequestFilter implements GlobalFilter {
    @Override    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {        byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes());        String[] headerValues = {new String(token)};        ServerHttpRequest build = exchange.getRequest()                .mutate()                .header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues)                .build();
        ServerWebExchange newExchange = exchange.mutate().request(build).build();        return chain.filter(newExchange);    }
}

在请求经过网关时添加额外的 Header，为了方便这里直接设置成固定值。
建立公共 Starter 模块 cloud-component-security-starter



编写配置类，用于灵活控制服务是否允许绕过网关





















@Data@ConfigurationProperties(prefix = "javadaily.cloud")public class CloudSecurityProperties {
    /**     * 是否只能通过网关获取资源     * 默认为True     */    private Boolean onlyFetchByGateway = Boolean.TRUE;
}


编写拦截器，用于校验请求是否经过网关
public class ServerProtectInterceptor implements HandlerInterceptor {
    private CloudSecurityProperties properties;
    @Override    public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){
        if (!properties.getOnlyFetchByGateway()) {            return true;        }
        String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER);
        String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes()));
        if (StringUtils.equals(gatewayToken, token)) {            return true;        } else {            ResultData<String> resultData = new ResultData<>();            resultData.setSuccess(false);            resultData.setStatus(HttpServletResponse.SC_FORBIDDEN);            resultData.setMessage("请通过网关访问资源");            WebUtils.writeJson(response,resultData);            return false;        }    }
    public void setProperties(CloudSecurityProperties properties) {        this.properties = properties;    }}

配置拦截器
public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer {
    private CloudSecurityProperties properties;
    @Autowired    public void setProperties(CloudSecurityProperties properties) {        this.properties = properties;    }
    @Bean    public HandlerInterceptor serverProtectInterceptor() {        ServerProtectInterceptor interceptor = new ServerProtectInterceptor();        interceptor.setProperties(properties);        return interceptor;    }
    @Override    public void addInterceptors(InterceptorRegistry registry) {        registry.addInterceptor(serverProtectInterceptor());    }}

编写 starter 装载类
@EnableConfigurationProperties(CloudSecurityProperties.class)public class CloudSecurityAutoConfigure{
    @Bean    public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() {        return new CloudSecurityInterceptorConfigure();    }
}

建立资源文件 spring.factories，配置 Bean 的自动加载






org.springframework.boot.autoconfigure.EnableAutoConfiguration=\   com.javadaily.component.security.configure.CloudSecurityAutoConfigure

在后端服务配置文件中添加属性配置，默认只能通过网关访问
javadaily:  cloud:    onlyFetchByGateway: true

经过以上几步，一个公共的 Starter 模块就构建完成了。
后端服务引用此公共 Starter 模块即可，以 account-service 为例
<dependency> <groupId>com.jianzh5.cloud</groupId> <artifactId>cloud-component-security-starter</artifactId></dependency>

实现效果
直接访问后端服务接口   
http://localhost:8010/account/getByCode/jianzh5

返回结果：

{  "message": "请通过网关访问资源",  "status": 403,  "success": false,  "timestamp": 1611660015830}