SpringCloud微服务架构从入门到会用(五)—服务网关鉴权

编程

上一篇文章我们集成了服务网关Spring Cloud Gateway,所有的服务请求都可以通过Gateway访问。那我们就可在服务网关这一层对用户的请求进行鉴权,判断是否可以访问路由的API接口。

加下来我们开始增加鉴权,这里我们使用jwt

1. 创建授权服务module

按照第二篇文章创建一个module,起名为app-auth。

2. 修改service-auth的pom文件

<properties>

<java.version>1.8</java.version>

<spring-cloud.version>Hoxton.SR1</spring-cloud.version>

</properties>

<dependencies>

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-web</artifactId>

</dependency>

<dependency>

<groupId>org.springframework.cloud</groupId>

<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>

</dependency>

<dependency>

<groupId>org.springframework.cloud</groupId>

<artifactId>spring-cloud-starter-openfeign</artifactId>

</dependency>

<!-- redis -->

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-data-redis</artifactId>

</dependency>

<dependency>

<groupId>org.apache.commons</groupId>

<artifactId>commons-pool2</artifactId>

<version> 2.6.1</version>

</dependency>

<!-- jwt鉴权 -->

<dependency>

<groupId>com.auth0</groupId>

<artifactId>java-jwt</artifactId>

<version>3.10.0</version>

</dependency>

<dependency>

<groupId>cn.hutool</groupId>

<artifactId>hutool-all</artifactId>

<version>5.2.0</version>

</dependency>

<dependency>

<groupId>org.projectlombok</groupId>

<artifactId>lombok</artifactId>

<optional>true</optional>

</dependency>

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-test</artifactId>

<scope>test</scope>

<exclusions>

<exclusion>

<groupId>org.junit.vintage</groupId>

<artifactId>junit-vintage-engine</artifactId>

</exclusion>

</exclusions>

</dependency>

</dependencies>

<dependencyManagement>

<dependencies>

<dependency>

<groupId>org.springframework.cloud</groupId>

<artifactId>spring-cloud-dependencies</artifactId>

<version>${spring-cloud.version}</version>

<type>pom</type>

<scope>import</scope>

</dependency>

</dependencies>

</dependencyManagement>

3. 修改启动类

@SpringBootApplication

@EnableEurekaClient // 开启eureka客户端模式

public class AppAuthApplication {

public static void main(String[] args) {

SpringApplication.run(AppAuthApplication.class, args);

}

}

4. 增加jwt工具类

这里我们将生成的token和refreshToken都存储到redis中,所以我们也引入了redis依赖。为了保证一定的安全性,我们的token和refreshToken都是有时效的,这里我们将这两个值的有效时间放到配置文件中,以便灵活修改。

在生成token的时候,我们将账号和客户端类型传入,客户端类型主要分为,网页浏览器端,手机app端和桌面程序端。三端都有各自的token。

// 生成token和refreshToken

public Map<String, String> getToken(String phone, String type){

//生成refreshToken

String refreshToken = UUID.randomUUID().toString().replaceAll("-","");

String token = this.buildJWT(phone, type);

String key = SecureUtil.md5(type + phone);

//向hash中放入数值

stringRedisTemplate.opsForHash().put(key,"token", token);

stringRedisTemplate.opsForHash().put(key,"refreshToken", refreshToken);

//设置key过期时间

stringRedisTemplate.expire(key, refreshTokenExpireTime, TimeUnit.MILLISECONDS);

Map<String , String> map = new HashMap<>(2);

map.put("token", token);

map.put("refreshToken", refreshToken);

return map;

}

5. 编写登录接口

@GetMapping(value = "/login")

public ResponseDTO<Map<String, String>> login(@RequestParam("account") String account,

@RequestParam("password") String password,

HttpServletRequest request){

String clientType = request.getHeader("clientType");

if(StrUtil.isEmpty(clientType)) {

return ResponseDTO.error().setMsg("clientType不能为空");

}

//账号密码校验

if(StrUtil.isNotEmpty(account) && StrUtil.isNotEmpty(password)){

if ("admin".equals(account) && "123456a".equals(password)){

Map<String, String> map = tokenUtil.getToken(account, clientType);

return ResponseDTO.ok().setData(map);

}else {

return ResponseDTO.error().setMsg("账号或密码错误");

}

}else {

return ResponseDTO.error().setMsg("账号或密码错误");

}

}

此处暂时只展示登录方法,刷新token方法和退出登录方法请查看git仓库。

5. server-gateway增加Filter,用于权限验证

此处代码较多,只展示部分核心代码

创建RequestGlobalFilter类,增加@Component注解,实现GlobalFilter, Ordered这两个接口;实现public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) 方法

由于这个Filter拦截所有请求,所以我们要提前定义一下不拦截的接口,例如登录接口和刷新token的接口。我们在server-gateway的配置文件中增加ignore.urls,把不拦截的接口用逗号分隔的方式放到这个配置上,例如:

ignore.urls=/auth/login,/authrefresh

对于需要拦截的url,我们需要从header中拿到token和clientType,然后通过jwt工具进行校验该token是否有效,如果无效返回401错误信息。

private String verifyJWT(String token, String clientType) {

String userPhone;

try {

Algorithm algorithm = Algorithm.HMAC256(clientType);

JWTVerifier verifier = JWT.require(algorithm)

.withIssuer("userPhone")

.build();

DecodedJWT jwt = verifier.verify(token);

userPhone = jwt.getClaim("phone").asString();

} catch (JWTVerificationException e) {

return "";

}

return userPhone;

}

在此处我们需要引入jwt依赖

<dependency>

<groupId>com.auth0</groupId>

<artifactId>java-jwt</artifactId>

<version>3.10.0</version>

</dependency>

6. 增加app-auth路由配置

# 路由到app-auth服务

spring.cloud.gateway.routes[2].id=app-auth

spring.cloud.gateway.routes[2].uri=lb://APP-AUTH

spring.cloud.gateway.routes[2].predicates[0]=Path=/auth/**

spring.cloud.gateway.routes[2].filters[0]=StripPrefix=1

7. 启动服务测试请求

分别启动server-eureka,server-gateway,app-auth,app-order,app-storage

  • 先访问http://127.0.0.1:10010/order/v1/order/placeOrder/commit会提示“认证失败”
  • 然后在请求中增加请求头Authorization和clientType,继续访问会提示“认证失败,请重新登录”。
  • 请求登录接口http://127.0.0.1:10010/auth/login?account=admin&password=123456a,并添加请求头clientType,得到token和refreshToken
  • 把上一步得到的token和使用clientType放到第一步的请求中,再次请求,会返回true。

由于本文涉及的代码偏多,请大家移步至git仓库查看更多代码。

https://gitee.com/hedavid/spring-cloud-example

以上是 SpringCloud微服务架构从入门到会用(五)—服务网关鉴权 的全部内容, 来源链接: utcz.com/z/514724.html

回到顶部