让微服务只允许来自网关的请求

已于 2025-01-13 14:14:42 修改
阅读量2.8k 收藏 9
点赞数 3
分类专栏: 分布式 SpringCloud Java 文章标签: nginx java
于 2021-09-20 17:19:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wq2323/article/details/120393236
版权

让微服务只允许来自网关的请求

一般各个微服务的请求都是通过网关转发的,但是想要让微服务只允许来自网关的请求:

在这里插入图片描述

实际在生产项目,微服务和网关之间都是走内网调用的,并不会通过公网IP,因此外部机器直接访问公网IP是用会被防火墙屏蔽,微服务这时候和网关之间的请求也就是安全的;对外提供服务的域名会走 NGINX反向代理到网关,网关转发到对应的服务,真正对外提供的仅有NGINX。

在这里插入图片描述

要是你的服务器是不同厂商服务器,没有内网可以调用,也可以通过固定端口开放的形式,使用公网ip提供。

比如有网关所在服务器公网ip和端口: 192.168.0.1:8080
微服务1所在服务器公网ip和端口: 192.168.0.2:8080

假定都是公网ip,并且没有内网,因此微服务网关可以对192.168.0.2的8080端口开放,
微服务对网关的192.168.0.1:8080开放,就可以组成互通的环境了。

这里以阿里云举例:
在这里插入图片描述

在这里插入图片描述

当然,如果现在没有这种内网、防火墙环境,也可以使用临时方案替代。

假设使用了SpringCloud的Feign调用,那其实还是走的http,可以在请求头中加入token,使用过滤器的方式

在网关中:

添加一个参数systemFrom,值为gateway,一起转发给微服务,微服务只需要判断值是不是gateway即可

@Component
public class AuthorizeFilter implements GlobalFilter, Ordered {


    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        //...
				//省略鉴别token的代码
      
        //只允许通过网关访问
        ServerHttpRequest req = exchange.getRequest().mutate()
                .header("systemFrom", "gateway").build();
        return chain.filter(exchange.mutate().request(req.mutate().build()).build());
    }

    @Override
    public int getOrder() {
        return 0;
    }
}

在微服务中做拦截,判断systemFrom的值是不是gateway:

@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  //如果不是网关来的服务,都拒绝访问
        String fromKey = request.getHeader("systemFrom");
        if(fromKey == null || !"".equals("gateway")){
            response.setContentType("application/json; charset=utf-8");
            PrintWriter writer = response.getWriter();
            response.setStatus(401); //权限不足
            writer.write("error");
            return false;
        }


      //... 鉴权Token

        return true;
    }
}

这里的systemFrom的key和value值是临时演示的,可以增加一套新的加密解密算法

这样每次请求中都会校验是不是网关带来的参数。

当然实际生产还是推荐第一种方案

微服务网关gateway集成security
07-13
而Spring Cloud Gateway作为一款强大的微服务网关,承担着路由、过滤器等功能,它能有效地为微服务集群提供统一的入口。在实际项目中,为了保证服务的安全性,我们常常需要将Spring Cloud Gateway与Spring Security...
微服务组件——利用SpringCloudGateway网关实现统一拦截服务请求,避免绕过网关请求服务
最新发布
bjzhang75的博客
01-04 1133
微服务组件——Spring Cloud Gateway 统一拦截服务请求,避免绕过网关请求服务
网关Gateway & SpringCloudGateway
m0_46199937的博客
11-17 356
Gateway 网关的核心功能特性: 请求路由 权限控制 限流 SpringCloud中的网关实现包括两种:gateway、zuul。 Zuul是基于Servlet的实现,属于阻塞式编程。 SpringCloudGateway则是基于Spring5中提供的WebFlux,属于响应式编程的实现,具备更好的性能。 SpringCloudGateway 搭建网关服务 步骤 1、创建module,添加依赖 <!--网关--> <dependency> <groupId&g
Gateway--服务网关
m0_58380757的博客
08-21 827
Gateway--服务网关
SpringCloud确保服务只能通过gateway转发访问,禁止直接调用接口访问
Hpsyche的博客
11-06 2万+
前言 在微服务体系架构中,网关承担着重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙,所以,在分布式架构中,我们需要有一定的防范,来确保各个服务相互之间安全调用。 正文 思路 1、在网关中给所有请求加上一个请求密钥 2、在服务添加过滤器,验证密钥 首先在网关服务(gateway)中添加过滤器,给放行的请求头上加上判断...
【MS】springcloud-gateway 中实现服务之间鉴权,只能从网关访问,禁止直接访问服务
热门推荐
唐伯虎点纹香的博客
07-31 3万+
服务之间鉴权,只能从网关访问,禁止直接访问服务 前言 在开发过程中,网关是一个很重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙 在分布式架构的系统中,每个服务都有自己的一套API提供给别的服务调用,如何保证每个服务相互之间安全调用? 思路 1、所有接口都要通过认证才能访问,有时候又有需求,不需要认证就可以访问。 ...
第一章 微服务网关 - 入门
时光钟摆
10-21 520
一、什么是服务网关 服务网关 = 路由转发 + 过滤器 1、路由转发:接收一切外界请求,转发到后端的微服务上去; 2、过滤器:在服务网关中可以完成一系列的横切功能,例如权限校验、限流以及监控等,这些都可以通过过滤器完成(其实路由转发也是通过过滤器实现的)。 二、为什么需要服务网关 上述所说的横切功能(以权限校验为例)可以写在三个位置: 每个服务自己实现一遍 写到一个公共的服务中,然后其他所有服务都依赖这个服务 写到服务网关的前置过滤器中,所有请求过来进行权限校验 第一种,缺点太明
SpringCloud微服务负载均衡与网关
01-11
例如,客户端发起请求到达API网关网关首先进行预处理,如认证、限流,然后通过负载均衡策略将请求转发到相应的微服务实例。这样可以降低微服务之间的耦合,提升系统的整体性能和可靠性。 在开发过程中,Spring...
微服务Api网关框架40-45.7z
06-25
微服务API网关是现代分布式系统中的关键组件,它作为客户端与后端微服务之间的桥梁,承担了多种职责,如身份验证、路由、限流、负载均衡等。在这个压缩包中,我们关注的是如何利用OpenResty这个强大的网关工具来实现...
个推微服务网关架构实践
01-27
微服务架构中,API网关扮演着关键角色,它作为客户端与众多微服务之间的单一入口点,负责统一处理各种请求,实现服务的聚合、路由、安全控制等功能。个推在其微服务实践中,也充分利用了API网关的优势,构建了一个...
微服务网关解决方案调研和使用总结
01-27
微服务网关作为现代软件架构的关键组成部分,负责管理和保护企业IT系统的边界,为各种外部访问提供集中式的控制点。API Gateway的主要职责包括统一接入、流量管控、协议适配转发和安全防护。它在微服务架构中扮演着...
为什么微服务一定要有API网关
m0_67505824的博客
03-29 345
微服务不能没有网关,就如同 Java 程序员不能没有IDEA、Eclipse。为什么呢? 之所以网关微服务这么重要,主要有以下几点原因: 1. 解决 API 放哪里的问题 要知道,采用微服务架构的系统本身是由很多的独立服务单元组合起来的。而客户端要调用系统,则必须通过系统提供的各种对外开放的功能 API 来实现。 问题来了,这些 API 要放在哪里呢?直接放在组成系统的服务单元上行不行? 比如,在一套电商系统上,关于订单相关的 API ,放在组成订单服务的服务单元上;风控服务的 API ,放在组
SpringCloud确保服务只能通过gateway转发访问,禁止直接调用接口访问【转载】
weixin_41464742的博客
02-22 1550
前言 在微服务体系架构中,网关承担着重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙,所以,在分布式架构中,我们需要有一定的防范,来确保各个服务相互之间安全调用。 正文 思路 1、在网关中给所有请求加上一个请求密钥 2、在服务添加过滤器,验证密钥 首先在网关服务(gateway)中添加过滤器,给放行的请求头上加上判断 package com.hpsyche.hpsychegatewayserver.filter; impor
为什么微服务一定要有网关
中国充电平台开源领域“第一人” 李文慧 国内知名开源工作者 全栈工程师 华为云最具价值专家
10-16 1111
一听到“网关”这个词儿,你第一个想到的一定是 Nginx。没错,Nginx 作为网关领域的一哥,在大中小厂里的应用面那可不是一般的广泛。那究竟是 Nginx 过气了,还是 Spring Cloud Gateway 太牛了,以至于我们要引入一个新的网关组件呢?其实都不是,Gateway 并没有抢 Nginx 的地盘,此网关非彼网关Nginx 和 Gateway 在微服务体系中的分工是不一样的。Gateway 作为更底层的微服务网关,通常是作为外部 Nginx 网关和内部微服务系统之间的桥梁。
SpringCloud Alibaba微服务实战二十六 - 禁止直接访问后端服务
飘渺Jam的博客
01-28 4471
前言使用SpringCloud架构后我们希望所有的请求都需要经过网关才能访问,在不作任何处理的情况下我们是可以绕过网关直接访问后端服务的。如下,我们绕过网关直接访问后端服务也是可以获取到...
springcloud 通过gateway网关访问各个微服务的swagger swagger版本的踩坑
王sir的博客
05-20 3319
1 启动注册中心,网关(8062), 接口微服务(8082,service-app): 2引入依赖 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.6.1</version> &lt
微服务网关鉴权:gateway使用、网关限流使用 用户密码加密 JWT鉴权
m0_71777195的博客
07-15 1107
客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求,在一定场景下处理相对复杂认证复杂,每个服务都需要独立认证难以重构,随着项目的迭代,可能需要重新划分微服务。例如,可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信,那么重构将会很难实施某些微服务可能使用了防火墙 / 浏览器不友好的协议,直接访问会有一定的困难以上这些问题可以借助网关解决。网关是介于客户端和服务器端之间的中间层,所有的外部请求都会先经过 网关这一层。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值