api网关 访问权限控制_Openresrt最佳案例 | 第9篇：Openresty实现的网关权限控制

采用openresty 开发出的api网关有很多，比如比较流行的kong、orange等。这些API 网关通过提供插件的形式，提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求，如果要想达到特定场景的需求，可能需要二次开发，比如RBAC权限系统。本小节通过整合前面的知识点，来构建一个RBAC权限认证系统。

技术栈

本小节采用了以下的技术栈：

• Openresty(lua+nginx)
• mysql
• redis
• cjson

验证流程

• 用户请求经过nginx，nginx的openresty的模块通过拦截请求来进行权限判断
• openresty的access_by_lua_file模块，进行了一系列的判断
• 用户的请求是否为白名单uri，如果为白名单uri，则直接通过验证，进入下一个验证环节content_by_lua_file,这个环节直接打印一句话：“恭喜，请求通过。”
• 如果用户请求不为白名单url，则需要取出请求header中的token,如果请求的header不存在token,则直接返回结果401，无权限访问。
• 如果用户请求的uri的请求头包含token ，则取出token，解密token取出用户id
• 根据取出的userid去查询数据库获取该用户的权限，如果权限包含了该请求的uri，请求可以通过，否则，请求不通过。
• 请求如果通过access_by_lua_file模块，则进入到content_by_lua_file模块,该模块直接返回一个字符串给用户请求，在实际的开发中，可能为路由到具体的应用程序的服务器。

验证流程图如下所示：

vim /usr/example/example.conf ，加上以下的配置：

 location / { default_type "text/html"; access_by_lua_file /usr/example/lua/api_access.lua; content_by_lua_file /usr/example/lua/api_content.lua; }

以上的配置表示，要不符合已有location路径的所有请求，将走这个location为/ 的路径。符合这个location的请求将进入 access_by_lua_file和 content_by_lua_file的模块判断。

vim /usr/example/lua/access_by_lua_file ，加上以下代码：

local tokentool = require "tokentool"local mysqltool = require "mysqltool" function is_include(value, tab) for k,v in ipairs(tab) do if v == value then return true end end return false endlocal white_uri={"/user/login