SpringCloud 实战:禁止直接访问后端服务

2021年2月4日 342点热度 0人点赞 0条评论

图片

作者 | 单一色调    责编 | 张文
来源 | 转载自 JAVA 日知录

图片

前言


使用 SpringCloud 架构后,我们希望所有的请求都需要经过网关才能访问。在不作任何处理的情况下,我们是可以绕过网关直接访问后端服务的。如下,我们绕过网关直接访问后端服务也是可以获取到数据的。

图片
那我们今天的议题就是如何防止请求绕过网关直接访问后端服务?


图片

解决方案


我觉得防止绕过网关直接请求后端服务的解决方案主要有三种:
  • 使用 Kubernetes 部署
    在使用 Kubernetes 部署 SpringCloud 架构时,我们给网关的 Service 配置 NodePort,其他后端服务的 Service 使用 ClusterIp,这样在集群外就只能访问到网关了。
  • 网络隔离
    后端普通服务都部署在内网,通过防火墙策略限制只允许网关应用访问后端服务。
  • 应用层拦截
    请求后端服务时通过拦截器校验请求是否来自网关,如果不来自网关则提示不允许访问。
这里我们着重关注在应用层拦截这种解决方案。

图片

实现


实现思路
实现思路其实也很简单,在请求经过网关的时候给请求头中增加一个额外的 Header,在后端服务中写一个拦截器,判断请求头是否与在网关设置的请求 Header 一致,如果不一致则不允许访问并给出提示。
当然为了防止在每个后端服务都需要编写这个拦截器,我们可以将其写在一个公共的 starter 中,让后端服务引用即可。而且为了灵活,可以通过配置决定是否只允许后端服务访问。
接下来我们看看核心代码。

实现过程

在网关 cloud-gateway 模块编写网关过滤器

@Component@Order(0)public class GatewayRequestFilter implements GlobalFilter {
@Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes()); String[] headerValues = {new String(token)}; ServerHttpRequest build = exchange.getRequest() .mutate() .header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues) .build();
ServerWebExchange newExchange = exchange.mutate().request(build).build(); return chain.filter(newExchange); }
}
在请求经过网关时添加额外的 Header,为了方便这里直接设置成固定值。

建立公共 Starter 模块 cloud-component-security-starter

图片

编写配置类,用于灵活控制服务是否允许绕过网关

@Data@ConfigurationProperties(prefix = "javadaily.cloud")public class CloudSecurityProperties {
/** * 是否只能通过网关获取资源 * 默认为True */ private Boolean onlyFetchByGateway = Boolean.TRUE;
}

编写拦截器,用于校验请求是否经过网关

public class ServerProtectInterceptor implements HandlerInterceptor {
private CloudSecurityProperties properties;
@Override public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){
if (!properties.getOnlyFetchByGateway()) { return true; }
String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER);
String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes()));
if (StringUtils.equals(gatewayToken, token)) { return true; } else { ResultData<String> resultData = new ResultData<>(); resultData.setSuccess(false); resultData.setStatus(HttpServletResponse.SC_FORBIDDEN); resultData.setMessage("请通过网关访问资源"); WebUtils.writeJson(response,resultData); return false; } }
public void setProperties(CloudSecurityProperties properties) { this.properties = properties; }}

配置拦截器

public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer {
private CloudSecurityProperties properties;
@Autowired public void setProperties(CloudSecurityProperties properties) { this.properties = properties; }
@Bean public HandlerInterceptor serverProtectInterceptor() { ServerProtectInterceptor interceptor = new ServerProtectInterceptor(); interceptor.setProperties(properties); return interceptor; }
@Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(serverProtectInterceptor()); }}

编写 starter 装载类

@EnableConfigurationProperties(CloudSecurityProperties.class)public class CloudSecurityAutoConfigure{
@Bean public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() { return new CloudSecurityInterceptorConfigure(); }
}

建立资源文件 spring.factories,配置 Bean 的自动加载

org.springframework.boot.autoconfigure.EnableAutoConfiguration=\   com.javadaily.component.security.configure.CloudSecurityAutoConfigure

在后端服务配置文件中添加属性配置,默认只能通过网关访问

javadaily:  cloud:    onlyFetchByGateway: true
经过以上几步,一个公共的 Starter 模块就构建完成了。

后端服务引用此公共 Starter 模块即可,以 account-service 为例

<dependency> <groupId>com.jianzh5.cloud</groupId> <artifactId>cloud-component-security-starter</artifactId></dependency>

实现效果

直接访问后端服务接口  
http://localhost:8010/account/getByCode/jianzh5
图片
返回结果:
{  "message": "请通过网关访问资源",  "status": 403,  "success": false,  "timestamp": 1611660015830}
以上,希望对你有所帮助!
图片

程序员如何避免陷入“内卷”、选择什么技术最有前景,中国开发者现状与技术趋势究竟是什么样?快来参与「2020 中国开发者大调查」,更有丰富奖品送不停!

图片

图片

☞小米澄清「手机不再支持GMS」;虾米音乐正式关停;《质量效应1》DLC 因源代码损坏而移除 | 极客头条

一行代码没写,凭啥被尊为“第一位程序员”?

程序员硬核“年终大扫除”,清理了数据库 70GB 空间

图片

58510SpringCloud 实战:禁止直接访问后端服务

这个人很懒,什么都没留下

文章评论