Dubbo中通过过滤器实现服务认证

已于 2023-01-16 15:40:26 修改
阅读量1.8k 收藏 3
点赞数 1
分类专栏: 学习笔记 文章标签: dubbo java 服务鉴权
于 2023-01-09 15:09:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38862257/article/details/128614856
版权

服务之间的认证,主要包含两部分,一是鉴定真假,二是鉴定篡改。

鉴定真假

在客户端发起请求的时候,添加一个TOKEN字段,服务端接收到请求先校验TOKEN字段是否存在,若存在则认为是合法请求,否则就可以抛出异常中断请求了。

TOKEN在服务端的验证一般有两种处理方式

  • 服务端内部保存有TOKEN,直接就可以验证。优点:无需远超调用,节省远超调用开销,加快了处理验证的失效;缺点:TOKEN保存在服务端,意味着TOKEN和服务端强耦合,不够灵活。
  • 将TOKEN保存在第三方媒介中,每次处理请求的时候去调用第三方媒介验证。优点:灵活性和可控性更好,可以为不同的客户端分配不同的TOKEN值并设置过期;缺点:远超调用会有一定的开销。

对代码进行修改,主要的改动点:

提供方:

  • 定义ProviderTokenFilter过滤器类,实现invoke方法。
  • 在invoke方法中,从invocation的attachments中获取TOKEN值,再从上下文中获取方法层面配置的TOKEN值,最后比较两个TOKEN值,一样继续执行业务,不一样则抛出异常直接中断调用流程。
  • 在接口所在服务的@DubboService注解中,为改方法添加一个TOEKN参数以及对应的值。
  • 将ProviderTokenFilter的类路径添加到META-INF文件夹下面的org.apache.dubbo.rpc.Filter文件中。

消费方:

  • 定义一个ConsumerTokenFilter过滤器,实现invoke方法。
  • 为调用接口所在的服务的@DubboReference注解中,为该方法添加一个TOKEN参数以及声明该方法需要开启TOKEN认证。
  • 在invoke方法中,从上下文中获取方法层面配置的TOKEN值,然后放进invocation的attachments中,跟随远超调用去往提供方。
  • 将ConsumerTokenFilter的类路径添加到META_INF文件夹下的org.apache.dubbo.rpc.Filter文件中。
鉴定篡改

鉴定篡改,主要是证明发送的数据在传输过程中没有被偷偷修改,可以考虑加密或加签。

  • 加密:把明文变成密文,保护数据在传输过程中信息不泄密。
  • 加签:为了验证传输过程中是否被修改。

至于选择加密还是加签,还是两者都使用,要根据实际情况选择,大部分场景舍弃加密处理,采用加签的方式基本就足够了。

代码修改思路:

  • 客户端新增一个 ConsumerAddSignFilter 加签过滤器,同样服务端也得增加一个 ProviderVerifySignFilter 验签过滤器。
  • 客户端将加签的结果放在 Invocation 的 attachments 里面。
  • 服务端获取加签数据时,进行验签处理,若验签通过则放行,否则直接抛出异常。
自定义认证过滤器的通用三部曲:
  • 首先,自定义过滤器继承 org.apache.dubbo.rpc.Filter接口,并实现invoke方法,同时在过滤器的@Activate注解中声明是提供方或消费方,还是两者都是。
  • 其次,可以在 @Method的parameters字段中为方法自定义一些属性,以辅助过滤器的通用逻辑处理。
  • 最后,将自定义过滤器的类路径一定要记得添加到META-INF文件夹下面的org.apache.dubbo.rpc.Filter文件中。

学习来源:极客时间 《Dubbo源码剖析与实战》学习笔记 Day4

MyBatis和Dubbo深度整合——深度分析MyBatis+Dubbo项目架构设计
AI天才研究院
07-28 1231
1.1 Mybatis 是什么?Mybatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。Mybatis 避免了几乎所有的 JDBC 代码以及参数处理,非常适合开发人员编写灵活可移植性强的代码,屏蔽了数据库底层实现的差异性。Mybatis 可以直接作用在 XML 配置文件中,将复杂的JDBC操作抽象出来,使数据库相关操作对应用层来说是透明的,并可以定制化地调整性能。1.2 Apache Dubbo 是什么?
springboot2.2.5+dubbo2.7.3+nacos2 支持Nacos开启认证
a471801687的专栏
11-24 1148
springboot2.2.5+dubbo2.7.3+nacos2 支持Nacos开启认证
Dubbo令牌验证
哈哈镜的专栏
08-08 1万+
作用: 1.防止消费者绕过 注册中心访问提供者 2.在注册中心控制限,以决定要不要下发令牌给消费者。 3.注册中心可灵活改变授方式,而不需要修改或升级提供者。 可全局设置开启令牌验证:<dubbo:provider interface="" token="true">UUID生成随机令牌 <dubbo:provider interface="" token="123456">固定toke
Dubbo(54)如何实现Dubbo的安全认证
最新发布
qq_43012298的博客
04-14 494
首先,我们定义一个安全认证接口,并实现该接口。// 模拟一个token存储static {@Override在目录下创建一个名为通过以上步骤,我们成功地在Dubbo实现了安全认证。定义安全认证接口和实现:定义一个安全认证接口,并实现该接口。实现Dubbo认证Filter实现一个DubboFilter,用于在服务调用之前进行认证。配置Dubbo使用自定义Filter:在目录下创建配置文件,并添加自定义Filter的映射关系。在服务提供者和消费者中传递认证信息。
springboot-dubbo之api服务接口
lss0555的博客
12-02 2118
流程步骤 1、配置文件 在bootstrap.yml增加是否开启配置等操作 # magical: dubbo: auth: #是否开启Dubbo服务 enabled: true 2、服务配置 @Data @RefreshScope @Component(DubboAuthProperties.BEAN_NAME) @ConfigurationProperties(DubboAuthProperties.PREFIX) public class Dubb
深度解析dubbo过滤器之TokenFilter
猿上生活
08-04 1627
本文基于dubbo v2.6.x 我们首先说下dubbo的令牌验证,咱们这个TokenFilter 过滤器就是与之有关的。 1. 令牌验证 引用dubbo官方文档的介绍 通过令牌验证在注册中心控制限,以决定要不要下发令牌给消费者,可以防止消费者绕过注册中心访问提供者,另外通过注册中心可灵活改变授方式,而不需修改或升级提供者 我们可以了解到,这个token就是防止服务消费者绕过注册中心去访问服务提供者,同时能够使用注册中心进行限控制。 dubbo官网关于token的流程图,我们拿过来分析下: 服
Dubbo过滤器实现
菜鸡也有大佬梦
05-11 1415
主要内容 : , Dubbo 过滤器概述 ; • 过滤器链初始化的实现原理 ; • 服务提供者过滤器实现 ; • 消费者过滤器实现 。 首先介绍 Dubbo 过滤器的总体概况 , 包括如何配置和使用一些框架自定义的规则约束, 整个过滤器接口的总体结构 , Dubbo 框架中内置过滤器的不同用途 ; 然后介绍众多的过滤器是 如何初始化成一个过滤器链的 ; 最后 , 由于有的过滤器会在服务提供者端生效 , 有的会在消费 者端生效 , 因此我们会分为服务提供者和消费者两端来分别介绍各端的过滤器实现原理 。
Dubbo中的服务路由和过滤器配置
了解Dubbo中的服务路由 ## 1.1 什么是服务路由 在Dubbo中,服务路由是指根据一定的规则和条件,将请求路由到不同的服务提供者的过程。通过服务路由,可以实现请求的动态路由和负载均衡,提高系统的灵活性和可靠性...
Dubbo中的请求过滤器与拦截器机制
Apache Dubbo(以前称为Dubbo)是阿里巴巴开源的一款高性能Java RPC框架。它提供了三个核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Dubbo致力于提供高性能和透明化的远程方法...
Dubbo中分布式系统的安全与认证
# 1. Dubbo框架介绍 ## 1.1 Dubbo框架概述 Dubbo是一个高性能、轻量级的Java开源RPC框架,由阿里巴巴集团开发和维护。它为分布式应用提供了基于...Dubbo支持多种通信协议、负载均衡算法和服务发现机制,可以实现
服务网格Istio中lua过滤器及测试样例
a605692769的博客
12-31 2505
Envoy中除了功能强大的http连接管理器之外,envoy还内置了诸多的http过滤器(L7),用于自定义扩展http请求代理功能,如故障注入、外部授、限流等。 其中lua过滤器允许在请求和响应流期间运行 Lua 脚本,该特性为扩展自定义处理流程预留了很大的操作空间。
Idea+maven+spring-cloud项目搭建系列--11-2 dubbo&日志记录&数据统一封装
拽着尾巴的鱼儿的博客
03-10 1125
Idea+maven+spring-cloud项目搭建系列--11-2 dubbo&日志记录&数据统一封装
dubbo设置接口认证,降级,负载均衡,请求体大小限制
猿脑2.0的博客
08-22 720
Dubbo 是一款高性能、轻量级的开源 Java RPC 框架。
如何配置SpringCloud Dubbo SSL/TLS 双向认证
weixin_38067745的博客
12-13 1831
当微服务所部署的服务器不在一个内网,或者内网不是很安全,担心dubbo的远程调用被中间人窃听,或者担心dubbo调用不受控制,被恶意调用。那么就需要搭建Dubbo SSL/TLS双向认证服务提供方需要校验消费方的身份,消费方也需要校验服务提供方的身份
2006-京淘Day18
qq_16804847的博客
10-20 6022
1.学习Dubbo入门案例 2.重构京淘 JT-WEB/JT-SSO 3.完成用户注册/单点登录系统/登出
Dubbo分布式框架之token验证
热门推荐
冷月的编程学习
06-07 1万+
Dubbo提供了对消费者的 token验证,防止消费者:     1.防止消费者绕过 注册中心访问提供者      2.在注册中心控制限,以决定要不要下发令牌给消费者。      3.注册中心可灵活改变授方式,而不需要修改或升级提供者。配置方法:提供商配置:1.服务器级别:token:该参数接收两种类型值:boolean类型-True则生成UUID随机令牌,若为String则自定义令牌    ...
Dubbo高级配置
数据与算法架构提升之路专栏
03-21 1045
启动时检查 Dubbo缺省会在启动时检查依赖的服务是否可用,不可用时会抛出异常,阻止Spring初始化完成,以便上线时,能及早发现问题,默认check=true。 如果你的Spring容器是懒加载的,或者通过API编程延迟引用服务,请关闭check,否则服务临时不可用时,会抛出异常,拿到null引用,如果check=false,总是会返回引用,当服务恢复时,能自动连上。 可以通过check=...
dubbox增加过滤器功能(附代码)
zgfyxc的博客
08-31 377
在开发中,有时候需要限制访问的限,黑名单就是一种方法。对于Java Web应用,Spring的拦截器可以拦截Web接口的调用;而对于dubbo接口,Spring的拦截器就不管用了。 dubbo提供了Filter扩展,可以通过自定义Filter实现这个功能。本文通过一个事例来演示如何实现dubbo接口的IP黑名单。 [code="java"]package com.alibaba.dub...
Dubbo中的机制实现
FireFox1997
07-24 1164
Dubbo实现是确保分布式系统安全的重要步骤。通过采用基于Token、API Key、OAuth2.0或RBAC的方案,可以有效地保护系统免受未授访问。本文提供了在Dubbo实现各种机制的基本方法和示例代码,希望对你在实际应用中有所帮助。在实际开发中,选择合适的方案并根据系统需求进行调整,将有助于提升系统的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员故里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值