springcloud中微服务之间安全调用

最新推荐文章于 2024-11-30 16:31:44 发布
原创 最新推荐文章于 2024-11-30 16:31:44 发布 · 695 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring cloud

本文介绍了在微服务架构中如何确保服务间调用的安全性。通过在请求头加入认证信息,使用拦截器统一处理认证,如FeignClient和RestTemplate的请求拦截。同时,讨论了服务注册客户端的配置,以及如何在Web过滤器中处理认证信息。文章还提到了加密/解密方法的选择和链路追踪日志的实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

但是在在微服务集群中服务之间暴力的接口,或者对于第三方开放的接口如果不做及安全和认证,后果可想而知。

阅读下文之前思考几个问题:

  • 如何在restTemplate远程调用请求增加添加统一认证?

  • 服务认证如何规范加密和解密?

  • 远程调用统一什么协议比较合适?

如下图,三个服务注册到同一个注册中心集群,服务A、B、C之间如果不做任何限制,服务之间的接口基本是互通的。

但是如果A、B、C之间要做服务认证该如何设计?如果外部定制集成服务D接入怎么保证服务的安全性?

怎么加认证信息?

假设服务A是组织架构服务,服务B是规则引擎服务,服务C是公式引擎服务,如果B、C请求A服务调用用户信息除了开放接口规定参数。我们如何加入权限认证信息。

目前市面上主要两种方案处理

  • 请求体Body中加入参数校验 => SDK集成场景较多

  • 请求头Header中加入认证信息 token

请求头Header中加入认证信息 token,如下图结构所示。

确定服务认证统一在request header 加X-SERVICE-NAME,在服务服务中我们不可能每个服务都会主动去管理基础认证信息,仔细阅读RestTemplate源码不难发现,RestTemplate实现接口InterceptingHttpAccessor,因此我们可以再定义自己的拦截器来统一处理。

▐  拦截@FeignClient 客户端

feign远程调用请求增加头部信息处理,重新定义 RequestInterceptor

public class FeignApiInterceptor implements RequestInterceptor {

    /**
     * 统一处理feign的远程调用拦截
     */
    @Override
    public void apply(RequestTemplate requestTemplate) {
        // 远程调用请求增加头部信息处理(简写代码如下)
    requestTemplate.header("X-SERVICE-NAME", "...");
    }
}

▐  拦截RestTemplate远程调用请求

RestTemplate 提供高度封装的接口,可以让我们非常方便地进行 Rest API 调用。常见的方法如下:

RestTemplate远程调用请求增加头部信息处理,统一处理处理restTemplate的请求拦截。

/**
 * restTemplate远程调用请求增加头部信息处理
 */
@Slf4j
public class RestApiHeaderInterceptor implements ClientHttpRequestInterceptor {

    /**
     * 处理restTemplate的请求拦截
     */
    @Override
    public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution) throws IOException {
        long startTime = System.currentTimeMillis();
        try {
            HttpHeaders headers = request.getHeaders();
            
            // 远程调用请求增加头部信息处理(简写代码如下)
      requestTemplate.header("X-SERVICE-NAME", "...");
            
            ClientHttpResponse response = execution.execute(request, body);
            
            // 加入链路深度Deep
            // ....
            return response;
        } finally {
            // do something
        }
    }
}

▐  服务注册客户端配置

@Configuration
@EnableFeignClients(basePackages = NamingConstant.BASE_PACKAGE)
public class DiscoveryClientConfig {
    
    //......
    
    /**
     * feign请求拦截器
     */
    @Bean
    public RequestInterceptor feignInterceptor() {
        return new FeignApiInterceptor();
    }
    
    @Bean
    @LoadBalanced
    public RestTemplate restTemplate(HttpClient httpClient,
                                     Environment environment) {
        RestTemplate restTemplate = new RestTemplate();
        restTemplateBuilder.configure(restTemplate);
        restTemplate.setRequestFactory(buildFactory(httpClient, environment));
        // 加入自定义拦截器
        restTemplate.getInterceptors().add(new RestApiHeaderInterceptor());
        return restTemplate;
    }
    
}

拓展补充:

在处理RestTemplate的请求拦截的时候我们也可以追加链路追踪日志,具体对于链路日志的拓展可查阅《微服务分布式架构中,如何实现日志链路跟踪?

简写代码

@Slf4j
public class RestApiHeaderInterceptor implements ClientHttpRequestInterceptor {

    /**
     * 处理restTemplate的请求拦截
     */
    @Override
    public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution) throws IOException {
        long startTime = System.currentTimeMillis();
        try {
            // 远程调用请求增加头部信息处理
            ClientHttpResponse response = execution.execute(request, body);
            // 获取传递线程变量
            Collection<String> values = response.getHeaders()
                    .get(TraceUtil.TRACE_RPCCOUNT);
            if (!CollectionUtils.isEmpty(values)) {
                int value = Integer.valueOf(values.iterator().next());
                // 链路深度追加
                TraceUtil.getRpcCounter().addAndGet(value + 1);
            }
            return response;
        } finally {
            // 是否开启链路追踪
            if (TraceUtil.isTraceLoggerOn()) {
                // 输出链路日志(接口耗时)
                TraceUtil.log(StringHelper.join("dt:", System.currentTimeMillis() - startTime,
                        ", TRACE-RPC-", request.getMethod(),
                        ", URI:", request.getURI()));
            }
        }
    }
}

针对与validateToken方法这里就不做展开,对于加密方式大同小异,根据自己项目情况来定。

怎么接收认证信息?

读过Spring-Web源码应该知道OncePerRequestFilter过滤器基类,旨在保证在任何 servlet 容器上每个请求分派一次执行。它提供了一个带有 HttpServletRequest 和 HttpServletResponse 参数的doFilterInternal方法,详细用法可阅读源码。

另一种也出现在它自己的线程中的调度类型是ERROR 。如果子类希望静态声明是否应该在错误调度期间调用一次,它们可以覆盖shouldNotFilterErrorDispatch() 。

getAlreadyFilteredAttributeName方法确定如何识别请求已被过滤。默认实现基于具体过滤器实例的配置名称。

▐  定义基础过滤器

public abstract class BaseWebFilter extends OncePerRequestFilter {

    /**
     * 返回类名,避免filter不被执行
     */
    @Override
    protected String getFilterName() {
        return null;
    }
}

过滤器定义虚拟类, 继承自接口的过滤器。如果声明为springbean,他自动加载到请求过滤链(因为继承了GenericFilterBean接口,spring默认把继承此类的过滤器bean加到web过滤链)中,通过注解@order定义其优先级如果不申明为springbean,又要加入到过滤链中,可以通过FilterRegistrationBean定义,并指定优先级。

▐  封装拦截 ApiValidationFilter

@Override
public BaseWebFilter getFilterInstance() {
    return new BaseWebFilter() {
        @Override
        protected void doFilterInternal(HttpServletRequest request,
                                        HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
            // 拦截校验
            if (validateToken(request)) {
                // 校验通过执行下一个lan'j
                chain.doFilter(request, response);
            } else {
                // 封装统一认证失败返回信息
                response.setStatus(401);
                response.setCharacterEncoding(
                    Charset.defaultCharset().displayName());
                response.setContentType(
                    MimeTypeUtils.APPLICATION_JSON.toString());
                response.getWriter().println(JsonUtil.toJsonString(Response
                                                                   .err("status.401")));
            }
        }
    };
}

针对与validateToken方法这里就不做展开,对于加密方式大同小异,根据自己项目情况来定。

private boolean validateToken(HttpServletRequest request) {
    if (!needValidate(request)) {
      return true;
    }
    String security = resolveToken(request);
    if (security == null) {
      log.info("验证信息缺失,请求地址:{}", request.getRequestURI());
      return false;
    }
    try {
      // 解析security加密规则
      return true;
    } catch (Exception e) {
      log.info("验证信息无效:{},请求地址:{}", security, request.getRequestURI());
      return false;
    }
  }

总结

回顾整个方案设计与实现,大致可分为以下几个步骤

  • 参数加入位置:请求头Header还是请求体Body

  • 确定加入范围:@FeignClient客户端、构建RestTemplate以及集成服务远程接口调用

  • 确定拦截位置:Web线程拦截器,用于统一处理线程变量,该过滤器执行顺序早于springsecurity的过滤器

  • 确定加密/解密方式:加密字符串和解密

hqw921054
关注
Spring Cloud入门:如何实现服务间调用?三个关键步骤带你玩转微服务
java专栏
09-19 803
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀。
SpringCloud微服务2—微服务网关
m0_73509988的博客
07-10 991
而网关的请求转发是Gateway内部代码实现的,要想在请求转发之前做登录校验,就必须了解Gateway内部工作的基本原理。的过滤器来执行的,而且这个过滤器是整个过滤器链中顺序最靠后的一个。我们的登录是基于JWT来实现的,校验JWT的算法复杂,而且需要用到秘钥。前端发起的请求都会经过网关再到微服务,由于我们之前编写的过滤器和拦截器功能,微服务可以轻松获取登录用户信息。由于微服务获取用户信息是通过拦截器在请求头中读取,因此要想实现微服务之间的用户信息传递,就。来实现的,并不是我们自己发送的请求。
RestTemplate的Get请求
实践求真知
07-19 3万+
一 getForEntity系列函数 函数原型: 1 getForEntity(String url,Class responseType,Object ... urlVariables) 2 getForEntity(String url,Class responseType,Map urlVariables) 3 getForEntity(URI url,Class responseT...
resttemplate get请求_RestTemplate 最详解
weixin_39827306的博客
11-26 3945
在项目中,当我们需要远程调用一个 HTTP 接口时,我们经常会用到 RestTemplate 这个类。这个类是 Spring 框架提供的一个工具类。Spring 官网对它的介绍如下:RestTemplate: The original Spring REST client with a synchronous, template method API.从上面的介绍中我们可以知道:RestTempl...
精讲RestTemplate第3篇-GET请求使用方法详解
字母哥博客
08-05 1万+
本文是精讲RestTemplate第3篇,前篇的blog访问地址如下: 精讲RestTemplate第1篇-在Spring或非Spring环境下如何使用 精讲RestTemplate第2篇-多种底层HTTP客户端类库的切换 RestTemplate可以发送HTTP GET请求,经常使用到的方法有两个: getForObject() getForEntity() 二者的主要区别在于,getForObject()返回值是HTTP协议的响应体。getForEntity()返回的是ResponseEntit
resttemplate get请求_简单粗暴的RestTemplate
weixin_39953740的博客
11-26 567
前言通常访问http接口,我们有时候会使用httpclient,但是其代码复杂,还得费心进行各种资源回收的编写,不建议直接使用。而RestTemplate是Spring提供的用于访问Rest服务的客户端,对get,post等请求以及反序列化支持都封装的比较好,使用起来简单粗暴优雅。但是笔者在使用时候碰到一些问题:1、乱码。2、不同的请求需要设置不同的超时时间。故整理出来与大家分享如何循序...
restTemplate get请求
最新发布
Rockandrollman的博客
11-30 481
在上述代码中,我们创建了一个HttpHeaders对象,并通过setContentType方法设置了请求的Content-Type为MediaType.APPLICATION_JSON。这通常意味着在构建请求或者调用方法时,没有正确设置请求的Content-Type头部,或者没有指定预期返回的内容类型。确保在构建GET请求时指定了正确的Content-Type。如果你正在发送一个带有参数的GET请求,并期望返回特定类型的数据(如JSON),你应该在构建请求前添加相应的Content-Type头部。
spring cloud微服务之间调用以及eureka的自我保护机制详解
08-27
Spring Cloud微服务之间调用以及Eureka的自我保护机制详解 微服务架构是一种软件架构风格,它将应用程序拆分成许多小的、独立的服务,每个服务都可以独立地开发、测试和部署。Spring Cloud是基于微服务架构的...
Spring Cloud全解析:服务调用之Feign显示fallback异常原因
Lxn2zh的博客
09-19 462
然后发现@FeignClient注解中有一个属性是fallbackFactory,看着这个是有一个Throwable参数的,拿来试一试。我在最一开始使用Feign的时候,是使用FallBack类去实现的FeignClient接口,就像这样。但是这样的话,我发现没有办法查看是因为什么原因造成的fallback呢,这种方法肯定是不行的。Feign显示fallback异常原因。
SpringCloud使用Feign调用第三方接口
weixin_44910550的博客
12-10 1980
Feign远程调用
resttemplate get请求_RestTemplate使用
weixin_39530960的博客
12-08 959
点击程序员IT课堂关注我们RestTemplateRest发送请求时携带CookieList cookieList = new ArrayList<>(4);HttpHeaders requestHeaders = new HttpHeaders();String token = "aaaaa";String cookieUrl = "https://mydomain.c...
resttemplate get请求_RestTemplate 使用
weixin_39901558的博客
12-08 1403
RestTemplate Rest 模板概述带负载均衡(@LoadBalanced)的 RestTemplate 必须使用微服务名称发起请求,不能使用 ip:port不带负载均衡(@LoadBalanced)的 RestTemplate 不能使用微服务名称发起请求,只能使用 ip:port1、org.springframework.web.client.RestTemplate 类是 spring...
RestTemplate入门
qq_34285557的博客
12-17 1193
RestTemplate入门  本篇主要讲解RestTemplate的基本使用,它是Spring提供的用来访问Rest服务的客户端,RestTmplate提供了很多便捷的方法,可以大大提供开发效率,本篇只涉及基本使用,内部原理后续再展开  1.RestTemplate简述  RestTemplate是Spring提供的用于发送HTTP请求的客户端工具,它遵循Res...
Spring RestTemplate 之get请求
weixin_30654419的博客
03-13 524
一,简介:Spring RestTemplate 是 Spring 提供的用于访问 Rest 服务的客户端,RestTemplate 提供了多种便捷访问远程Http服务的方法,能够大大提高客户端的编写效率 二、RestTemplate中几种常见请求方法的使用 ●get请求:在RestTemplate中,发送一个GET请求,我们可以通过如下两种方式 第一种:getFo...
spring boot单元测试之RestTemplate(三)——api详解
weixin_30410999的博客
06-20 468
本篇内容来自翟永超的《Springcloud微服务实战》,转载请注明。 一、GET请求 在RestTemplate中,对GET请求可以通过如下两个方法进行调用实现。 第一种:getForEntity函数。 该方法返回的是ResponseEntity,该对象是Spring对HTTP请求响应的封装,其中主要存储了HTTP的几个重要元素,比如HTTP请求状态码的枚举对象HttpStatus(也就...
RestTemplate优雅的发送Get请求
小英雄
05-31 2万+
在我们的项目中,如果借助RestTemplate发送Get请求,我们可以通过拼接字符串的方式将url拼接出来,比如下面这种方式: String url = "http://127.0.0.1/get?id=" + id + "&name=" + name;
resttemplate get请求_一步一步学做工具之RestTemplate详解
weixin_39722563的博客
12-04 1255
这是工具开发连载的第二篇,还是做专项知识的铺垫,HTTP在互联网的地位就不用说了,本节咱们用Spring Boot来实现HTTP的请求,接上文,上一节咱们实现了浏览器访问http://localhost:8080/hello,看到页面打印Hello World,(打开springboot的大门【一】),下面咱们就用代码来步步讲解!1.使用RestTemplate1.1什么是RestTem...
restTemplate
2301_79281358的博客
11-27 3930
使用Apache HttpClient 的重试处理器时,超时和抛出异常都有可能触发重试。当发生超时,HttpClient 通常会抛出 socketTimeoutException 或 connectTimeoutException 异常,这将触发重试。同时,HttpClient的 HttprequestRetryHander 接口允许你自定义在请求失败时进行重试的逻辑,这样你可以根据自己的需求判断是否要进行重试,不仅限于异常的抛出。
Spring Cloud中如何保证各个微服务之间调用安全性
热门推荐
u010889990的专栏
12-02 3万+
一.背景微服务架构下,我们的系统根据业务被拆分成了多个职责单一的微服务。每个服务都有自己的一套API提供给别的服务调用,那么如何保证安全性呢?不是说你想调用就可以调用,一定要有认证机制,是我们内部服务发出的请求,才可以调用我们的接口。需要注意的是我们这边讲的是微服务之间调用安全认证,不是统一的在API官网认证,需求不一样,API网关处的统一认证是和业务挂钩的,我们这边是为了防止接口被别人随便调用
SpringBoot2.0与SpringCloud微服务远程调用示例
- 实现分布式系统中微服务之间的通信。 此分布式项目demo提供了一个良好的学习与实践平台,对理解微服务架构、服务治理、远程调用等方面提供了实际操作案例。开发者可以基于此demo进行扩展,进一步探索和实践更加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值