OpenResty第八篇: Openresty实现的网关权限控制

最新推荐文章于 2025-05-17 21:42:03 发布
最新推荐文章于 2025-05-17 21:42:03 发布
阅读量3.9k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: lua+nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yangsen159/article/details/97400024

简介

采用openresty 开发出的api网关有很多,比如比较流行的kong、orange等。这些API 网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。

技术栈

本小节采用了以下的技术栈:

  • Openresty(lua+nginx)
  • mysql
  • redis
  • cjson

验证流程

1.用户请求经过nginx,nginx的openresty的模块通过拦截请求来进行权限判断

2.openresty的access_by_lua_file模块,进行了一系列的判断

  • 用户的请求是否为白名单uri,如果为白名单uri,则直接通过验证,进入下一个验证环节content_by_lua_file,这个环节直接打印一句话:“恭喜,请求通过。”
  • 如果用户请求不为白名单url,则需要取出请求header中的token,如果请求的header不存在token,则直接返回结果401,无权限访问。
  • 如果用户请求的uri的请求头包含token ,则取出token,解密token取出用户id
  • 根据取出的userid去查询数据库获取该用户的权限,如果权限包含了该请求的uri,请求可以通过,否则,请求不通过。

3.请求如果通过access_by_lua_file模块,则进入到content_by_lua_file模块,该模块直接返回一个字符串给用户请求,在实际的开发中,可能为路由到具体的应用程序的服务器。

验证流程图如下所示:
在这里插入图片描述
vim /usr/example/example.conf ,加上以下的配置:

 location / {
   
   
    default_type "text/html";
    access_by_lua_file /usr/example/lua/api_access.lua;
    content_by_lua_file /usr/example/lua/api_content.lua;
  }

以上的配置表示,要不符合已有location路径的所有请求,将走这个location为/ 的路径。符合这个location的请求将进入 access_by_lua_file和 content_by_lua_file的模块判断。

vim /usr/example/lua/access_by_lua_file ,加上以下代码:

local tokentool = require "tokentool"
local mysqltool = require "mysqltool"

 function is_include(value, tab)
   for k,
最低0.47元/天 解锁文章

200万优质内容无限畅学
Openresty最佳解读 | 第9篇:Openresty实现网关权限控制
常年被追砍的博客
07-13 1015
简介 采用openresty 开发出的api网关有很多,比如比较流行的kong、orange等。这些API 网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。 技术栈 本小节采用了以下的技术栈: Openresty(lua+nginx) mysql redis cjson 验证流程 用户请求经过nginx,nginx的ope
openresty的简单使用
u014036123的专栏
03-30 5407
Openresty: Nginx核心加很多第三方模块组成,默认集成lua开发环境,提供了大量组件如Mysql、Redis、Memcached等等。安装(1)步骤#!/bin/bashtar xvf openresty-1.9.7.3.tar.gzcd openresty-1.9.7.3./configure --with-luajit --with-http_drizzle_module --wi...
OpenResty 深度解析:构建高性能 Web 服务的终极方案
最新发布
weixin_71694051的博客
05-17 1709
1.我们使用openresty的三板斧①背靠nginx,嵌入到各个阶段的lua函数②cosocket可同步非阻塞在多个阶段访问第三方库服务,在nginx上实现业务成为可能③ngx,shared.dict共享内存可在多个worker进程共享数据,数据实时生效Kong 是一款基于 NGINX 和 OpenResty 构建的开源 API 网关,支持 API 管理、流量控制、身份验证、监控等功能,可实现对 API 的全生命周期管理与流量治理。
openresty 请求鉴权
weixin_43931625的博客
07-28 2064
openresty 请求鉴权
OpenResty 自定义 access_log 格式
orangleliu 笔记本
01-12 5997
定义access log的format是 Nginx已经提供的功能,有了 ngx_lua 之后就可以更灵活的记录请求相关的信息,而不仅仅拘泥于 Nginx的内置变量了,可以自定义一些格式和变量来存储结构化的数据,这样做离线的统计更加方面一些。 当然也可以通过or的 cosocket完成日志的实时收集和处理,可以参照 lua-resty-logger-socket 来实现。 思路需求是根据当前的请求记
大数据之OpenResty安装使用
大数据同盟会的博客
03-20 6956
一、OpenResty介绍 OpenResty 是一个基于 Nginx与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关OpenResty通过汇聚各种设计精良的 Nginx模块,从而将 Nginx有效地变成一个强大的通用 Web 应用平台。,快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。 简单的说:OpenResty = N
通过Caffeine实现JVM进程缓存、配置OpenResty完成nginx的本地缓存和redis操作,Canal实现缓存同步——配置多级缓存,一篇足矣
weixin_64339548的博客
10-11 1625
server {# 响应类型,这里返回json# 响应数据由 lua/item.lua这个文件来决定location ~ /api/item/(\d+) : 表示监听路径为/api/item/(至少一个数字)的路径如(192.168.8.1:8080/api/item/10001)并且获取10001这个路径参数,为了以后进行数据查询default_type application/json: 定义返回的数据格式,将查询到的缓存数据,根据自己前端需要数据的需求进行返回。
网关技术选型,为什么选择 Openresty?事件驱动、协程
m0_71777195的博客
06-18 334
今天跟大家聊下关于网关的话题互联网公司,不论体量大小如何,其内部的技术架构基本都是相似的,体现在以下几个方面:麻雀虽小五脏俱全,今天要讲的网关,就是其中的关键一环,不论公司规模大小如何,基本都要有这个系统。那么网关是干什么用的?网关是连接客户端与服务端的中间桥梁,将很多通用地、非业务逻辑抽离,前置到网关系统,减少了很多重复性开发工作,是整个网站的唯一流量入口。为了提高系统的扩展性,网关通常采用组件式架构,高内聚低耦合。常用的组件功能:系统设计上一般采用责任链设计模式,定义好抽象接口,每个组件实现自己的专属功
架构师系列-Nginx、OpenResty(四)- 初识OpenResty
dengwei_dw的专栏
04-24 1012
OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关
用于部署在OpenResty上的分流限流控制脚本,基于配置策略进行工作,可以通过管理URI实时调整配置生效
10-07
OpenResty中,这通常通过lua-resty-limit-traffic或lua-resty-throttle等第三方库实现。这些库提供了基于IP、用户代理、URL或其他标识符的限流策略。 3. **配置策略** 脚本基于配置策略工作,意味着可以根据预...
openrestyaccess_log打印自定义变量
daiyudong2020的博客
07-15 4407
期望:在access_log打印自定义变量define_error_code nginx配置: worker_processes 1; events { worker_connections 1024; } http { log_format main '[$time_local] $request $status $remote_addr $define_
openresty中通过capture执行子请求不通过access_by_lua阶段的解释
Life is short, not float
07-04 781
openresty中,执行capture时会跳过access阶段。 参加agentzh在邮件列表中的说法: ngx.location.capture() 发起的是 nginx 子请求。根据 nginx 的设计,所有的子请求(不限于 ngx_lua 模块发起的子请求)都会直接跳过 access 请求处理阶段里的所有处理程序(不限于 ngx_lua 模块的 access_by_lua)。 参考: [1] openresty邮件列表 ...
OpenResty 执行阶段的概念和用途
orangleliu 笔记本
01-12 4978
主要还是 Nginx 的执行阶段知识了,都是因为 OR 才会那么深刻, 它有些自己的阶段。 主要还是参照 春哥的 Nginx 教程 请多读几遍,如果不清楚nginx的执行阶段就无法充分利用 openresty 提供的强大功能。罗列从上到下的顺序执行每个阶段。NGX_HTTP_POST_READ_PHASE: #读取请求内容阶段 NGX_HTTP_SERVER_REWRITE_PHASE:
openresty开发系列34--openresty执行流程之4访问阶段
reblue520的专栏
09-02 826
openresty开发系列34--openresty执行流程之4访问阶段访问阶段用途:访问权限限制 返回403nginx:allow 允许,deny 禁止allow ip;deny ip;涉及到的网关,有很多的业务 都是在access阶段处理的,有复杂的访问权限控制nginx:allow deny 功能太弱一)access_by_lua语法:access_by_lua <lua-s...
【nginx】配置proxy_pass之后,响应变慢的问题
be5yond的博客
01-12 1万+
背景 netstub项目中,使用openresty作为网关,proxy_pass处理。配置如下, access.lua中进行一些预处理,然后代理到目标服务 ... location / { access_by_lua_file /etc/nginx/conf.d/access.lua; resolver 8.8.8.8; proxy_pass http://$http_host; proxy_buffering
基于openresty实现IP白名单+时间段访问控制
weixin_45745503的博客
08-22 813
这个配置主要实现的功能就是,拦截非白名单用户访问服务,并且除健康检查外,拒绝11:00~19:00以外的所有请求进来。代码里面还有一些小遐思,比如IPv4和v6地址的检测,如有好办法大家可以讨论讨论,如果有什么问题大家也可以帮忙指出,一起学习。
使用openresty通过lua修改请求/响应头
热门推荐
勿在浮沙筑高台
04-15 2万+
openresty介绍 在使用nginx时,如果我们想进行开发,开发难度比较大,openresty对nginx核心集成了很多lua三方模块,开发者可以使用lua脚本进行开发,开发者只需了解http协议和lua脚本。openresty你可以理解为支持lua开发的nginx,但是性能比nginx强。 openresty可提供:均衡负载、请求路由、安全认证、服务鉴权、流量控制、日志监控服务等。 根据op...
OpenResty学习笔记:再探WAF
Gefangenes的博客
05-11 322
到这里,就已经对OpenResty下的WAF从部署到使用有了全面了解了。如果时间允许的话,真想继续对WAF进行深层次的学习和定制。
nginx+lua(openresty)实现黑/白名单权限控制
lgq2016的博客
01-18 4923
openresty在nginx基础上集成了很多功能,比如可以直接调用redis,mysql,http接口等服务,比较流行的网关kong就是通过openresty实现的。日常开发和运维离不开nginx,实现稍微复杂的功能:简单权限控制,灰度发布等就可以通过openresty实现。 本文通过openresty定时器定期请求http接口获取更新的黑名单数据,过滤用户并做进一步的判断(结合实际的业务需求)进行权限管控。话不多说,直接上nginx.conf代码如下。 user ...
Phi项目:开源API网关基于OpenResty实现
- **openresty**:基于Nginx和Lua的高性能Web平台,API网关实现基础。 通过以上知识点的解读,我们可以看到phi项目是一个使用OpenResty技术栈构建的API网关,它集成了动态路由、动态上游、负载均衡、限流和降级等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值