微服务实现网关统一鉴权-接口级别
微服务实现网关统一鉴权-接口级别
一、背景介绍:
之前做微服务项目的时候鉴权操作都放在了各个服务中,每个服务都集成了spring security或者shiro框架或者写拦截器自己做鉴权操作,最近刚好有时间实现一下网关统一鉴权。之前:
统一鉴权之后服务呢就是单纯提供资源的服务了,叫资源服务。
鉴权操作一般都是有个单独的授权服务,实现方式:
1、网关调用授权服务的鉴权接口
2、网关和授权服务连接同一个redis
3、token使用jwt
个人感觉第一种方式不太可取,访问资源的每个接口网关都需要调用下授权服务有点鸡肋,增加了授权服务的压力,我选择2和3两种方式进行了实现,只不过使用jwt方式想要主动使此token过期功能则需要另外实现,jwt生成时就已经规定了什么时间过期。
二、授权认证时序图
这是第二种实现方式,网关和授权服务连接同一个redis,第三种就是除了没有redis其他流程一样,所以这也是统一鉴权其中一种好处,换框架换校验方式等只需要修改网关就行了。
流程:
① 用户申请令牌(可理解为登录)
② 授权服务颁发令牌(登陆成功返回token)
③ 用户拿到令牌去访问接口 (前端把token放到请求头)
④ 网关鉴权(接口级别的权限,有访问权限则把用户信息通过redis或者jwt解析出来,再通过base64加密或者其他加密算法把用户信息加密,如果资源服务不对外暴露全是内网用base64就行了,速度快,我使用的是AES对称加密)
⑤ 资源服务解析用户信息并生成上下文(解析并提供一个静态工具类能获得当前用户的信息方便业务使用)
三、实现
1、使用框架
- spring-boot 2.6.3
- spring-cloud 2021.0.1
- spring-cloud-alibaba 2021.0.1.0
- hutool 5.8.5
- sa-token 1.30.0
其中sa-token是国产的一个轻量级 java 权限认证框架,个人对比spring security、shiro框架感觉:功能丰富、使用简便、方式优雅,官方文档清晰现在已经万级star。
微服务组件本次只使用了网关gateway、注册中心nacos、服务调用openfeign、负载均衡loadbalancer只是为了实现统一鉴权功能其他组件暂市没使用。
2、项目结构
https://gitee.com/china-zhz/cloud.git
其中dev-redis是redis版本,dev-jwt是jwt版本
- cloud-common 公共工具类、枚举、常量等
- cloud-config 公共配置
- cloud-gateway 网关服务
- cloud-server-auth 授权服务
- auth-api 授权服务对外暴露的feign接口
- auth-web 授权服务web
- cloud-server-order 订单服务
- cloud-token token模块
因为每个资源服务都需要解析网关传来的用户封装信息,我把解析逻辑和生成上下文逻辑抽出了一个公共的cloud-token模块。
3、项目使用
① 启动网关服务、授权服务、订单资源服务
② 登录不经过网关的登录接口是
http://localhost:8081/auth/login?username=zhz&password=12345
经过网关登录接口是
http://localhost:8080/api-auth/auth/login?username=zhz&password=12345
③ 拿到登录接口返回的token请求经过网关订单服务资源接口(放入请求头)
http://localhost:8080/api-order/order/info
header key是Authorization 值是登录接口获得的token值
因为我网关配置了此接口需要order-info权限,登录授权给到的是order-order-info权限码所以返回没有权限访问。
至此网关统一鉴权实现结束。
更多推荐
所有评论(0)