Spring Cloud微服务架构从入门到会用(五)—服务网关鉴权
上一篇文章我们集成了服务网关Spring Cloud Gateway,所有的服务请求都可以通过Gateway访问。那我们就可在服务网关这一层对用户的请求进行鉴权,判断是否可以访问路由的API接口。
加下来我们开始增加鉴权,这里我们使用jwt
1. 创建授权服务module
按照第二篇文章创建一个module,起名为app-auth。
2. 修改service-auth的pom文件
1.8
Hoxton.SR1
org.springframework.boot
spring-boot-starter-web
org.springframework.cloud
spring-cloud-starter-netflix-eureka-client
org.springframework.cloud
spring-cloud-starter-openfeign
org.springframework.boot
spring-boot-starter-data-redis
org.apache.commons
commons-pool2
2.6.1
com.auth0
java-jwt
3.10.0
cn.hutool
hutool-all
5.2.0
org.projectlombok
lombok
true
org.springframework.boot
spring-boot-starter-test
test
org.junit.vintage
junit-vintage-engine
org.springframework.cloud
spring-cloud-dependencies
${spring-cloud.version}
pom
import
3. 修改启动类
@SpringBootApplication
@EnableEurekaClient // 开启eureka客户端模式
public class AppAuthApplication {
public static void main(String[] args) {
SpringApplication.run(AppAuthApplication.class, args);
}
}
4. 增加jwt工具类
这里我们将生成的token和refreshToken都存储到redis中,所以我们也引入了redis依赖。为了保证一定的安全性,我们的token和refreshToken都是有时效的,这里我们将这两个值的有效时间放到配置文件中,以便灵活修改。
在生成token的时候,我们将账号和客户端类型传入,客户端类型主要分为,网页浏览器端,手机app端和桌面程序端。三端都有各自的token。
// 生成token和refreshToken
public Map getToken(String phone, String type){
//生成refreshToken
String refreshToken = UUID.randomUUID().toString().replaceAll("-","");
String token = this.buildJWT(phone, type);
String key = SecureUtil.md5(type + phone);
//向hash中放入数值
stringRedisTemplate.opsForHash().put(key,"token", token);
stringRedisTemplate.opsForHash().put(key,"refreshToken", refreshToken);
//设置key过期时间
stringRedisTemplate.expire(key, refreshTokenExpireTime, TimeUnit.MILLISECONDS);
Map map = new HashMap<>(2);
map.put("token", token);
map.put("refreshToken", refreshToken);
return map;
}
5. 编写登录接口
@GetMapping(value = "/login")
public ResponseDTO> login(@RequestParam("account") String account,
@RequestParam("password") String password,
HttpServletRequest request){
String clientType = request.getHeader("clientType");
if(StrUtil.isEmpty(clientType)) {
return ResponseDTO.error().setMsg("clientType不能为空");
}
//账号密码校验
if(StrUtil.isNotEmpty(account) && StrUtil.isNotEmpty(password)){
if ("admin".equals(account) && "123456a".equals(password)){
Map map = tokenUtil.getToken(account, clientType);
return ResponseDTO.ok().setData(map);
}else {
return ResponseDTO.error().setMsg("账号或密码错误");
}
}else {
return ResponseDTO.error().setMsg("账号或密码错误");
}
}
此处暂时只展示登录方法,刷新token方法和退出登录方法请查看git仓库。
5. server-gateway增加Filter,用于权限验证
此处代码较多,只展示部分核心代码
创建RequestGlobalFilter类,增加@Component注解,实现GlobalFilter, Ordered这两个接口;实现public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) 方法
由于这个Filter拦截所有请求,所以我们要提前定义一下不拦截的接口,例如登录接口和刷新token的接口。我们在server-gateway的配置文件中增加ignore.urls,把不拦截的接口用逗号分隔的方式放到这个配置上,例如:
ignore.urls=/auth/login,/authrefresh
对于需要拦截的url,我们需要从header中拿到token和clientType,然后通过jwt工具进行校验该token是否有效,如果无效返回401错误信息。
private String verifyJWT(String token, String clientType) {
String userPhone;
try {
Algorithm algorithm = Algorithm.HMAC256(clientType);
JWTVerifier verifier = JWT.require(algorithm)
.withIssuer("userPhone")
.build();
DecodedJWT jwt = verifier.verify(token);
userPhone = jwt.getClaim("phone").asString();
} catch (JWTVerificationException e) {
return "";
}
return userPhone;
}
在此处我们需要引入jwt依赖
com.auth0
java-jwt
3.10.0
6. 增加app-auth路由配置
# 路由到app-auth服务
spring.cloud.gateway.routes[2].id=app-auth
spring.cloud.gateway.routes[2].uri=lb://APP-AUTH
spring.cloud.gateway.routes[2].predicates[0]=Path=/auth/**
spring.cloud.gateway.routes[2].filters[0]=StripPrefix=1
7. 启动服务测试请求
分别启动server-eureka,server-gateway,app-auth,app-order,app-storage
- 先访问http://127.0.0.1:10010/order/v1/order/placeOrder/commit会提示“认证失败”
- 然后在请求中增加请求头Authorization和clientType,继续访问会提示“认证失败,请重新登录”。
- 请求登录接口http://127.0.0.1:10010/auth/login?account=admin&password=123456a,并添加请求头clientType,得到token和refreshToken
- 把上一步得到的token和使用clientType放到第一步的请求中,再次请求,会返回true。
由于本文涉及的代码偏多,请大家移步至git仓库查看更多代码。
https://gitee.com/hedavid/spring-cloud-example