Gateway网关
为了防止微服务能被任何身份的人访问,需要对访问微服务的人做身份认证和权限校验。网关的功能就是对访问用户进行身份认证和权限校验。网关具有3种功能:
- 身份验证和权限校验:网关作为微服务入口,需要校验用户是是否有请求资格,如果没有则进行拦截。
- 服务路由、负载均衡:一切请求都必须先经过gateway,但网关不处理业务,而是根据某种规则,把请求转发到某个微服务,这个过程叫做路由。当然路由的目标服务有多个时,还需要做负载均衡。
- 请求限流:当请求流量过高时,在网关中按照下流的微服务能够接受的速度来放行请求,避免服务压力过大。
架构图:
1.快速入门
创建gateway服务,引入依赖
导入依赖
一个是gateway网关依赖,一个是nacos服务发现依赖,因为gateway也要作为一个微服务注册到nacos注册中心
<!--网关-->
<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
<!--nacos服务发现依赖-->
<dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
</dependency>
启动类
@SpringBootApplication
public class GatewayApplication {public static void main(String[] args) {SpringApplication.run(GatewayApplication.class, args);}
}
配置文件yml
server:port: 10010 # 网关端口
spring:application:name: gateway # 服务名称cloud:nacos:server-addr: localhost:8848 # nacos地址gateway:routes: # 网关路由配置- id: user-service # 路由id,自定义,只要唯一即可# uri: http://127.0.0.1:8081 # 路由的目标地址 http就是固定地址uri: lb://userservice # 路由的目标地址 lb就是负载均衡,后面跟服务名称predicates: # 路由断言,也就是判断请求是否符合路由规则的条件- Path=/user/** # 这个是按照路径匹配,只要以/user/开头就符合要求
流程总结
1.用户发送了一个请求,会优先经过gateway网关,网关进行身份验证与权限校验,然后进行服务路由(根据设定好的路由规则判断该请求应该转发给哪一种微服务。
2.网关从nacos注册中心中拉取微服务列表。
3.按照规定好的路由向对应的微服务发送请求,如果一种服务有多个比如user-service,那么再进行负载均衡)。
2.路由断言工厂
什么是断言?
在计算机编程中,断言是一种用于在代码中指定某个条件必须为真的声明或陈述。通俗地说,断言就像是程序员在代码中放置的一种陈述,用于表达程序在执行过程中的假设和预期。
路由工厂的作用
我们在配置文件中写的断言规则只是字符串,这些字符串会被Predicate Factory读取,转换为路由判断的条件。
常用的断言配置
| 名称 | 说明 | 示例 |
|---|---|---|
| After | 是某个时间点后的请求 | - After=2037-01-20T17:42:47.789-07:00[America/Denver] |
| Before | 是某个时间点之前的请求 | - Before=2031-04-13T15:14:47.433+08:00[Asia/Shanghai] |
| Between | 是某两个时间点之前的请求 | - Between=2037-01-20T17:42:47.789-07:00[America/Denver], 2037-01-21T17:42:47.789-07:00[America/Denver] |
| Cookie | 请求必须包含某些cookie | - Cookie=chocolate, ch.p |
| Header | 请求必须包含某些header | - Header=X-Request-Id, \d+ |
| Host | 请求必须是访问某个host(域名) | - Host=.somehost.org,.anotherhost.org |
| Method | 请求方式必须是指定方式 | - Method=GET,POST |
| Path | 请求路径必须符合指定规则 | - Path=/red/{segment},/blue/** |
| Query | 请求参数必须包含指定参数 | - Query=name, Jack或者- Query=name |
| RemoteAddr | 请求者的ip必须是指定范围 | - RemoteAddr=192.168.1.1/24 |
| Weight | 权重处理 |
配置实例
spring:cloud:gateway:routes: # 网关路由配置- id: user-service # 路由id,自定义,只要唯一即可uri: lb://userservice # 路由的目标地址 lb就是负载均衡,后面跟服务名称predicates: # 路由断言,也就是判断请求是否符合路由规则的条件- Path=/user/** # 这个是按照路径匹配,只要以/user/开头就符合要求- After=2037-01-20T17:42:47.789-07:00[America/Denver] # 请求必须是这个时间之后的请求
3.路由过滤器/网关过滤器GatewayFilter
GatewayFilter是网关中提供的一种过滤器,可以对进入网关的请求和微服务返回的响应做处理.
路由过滤器的种类
Spring提供了31种不同的路由过滤器工厂。例如:
| 名称 | 说明 |
|---|---|
| AddRequestHeader | 给当前请求添加一个请求头 |
| RemoveRequestHeader | 移除请求中的一个请求头 |
| AddResponseHeader | 给响应结果中添加一个响应头 |
| RemoveResponseHeader | 从响应结果中移除有一个响应头 |
| RequestRateLimiter | 限制请求的流量 |
添加路由过滤器实例
在配置文件application.yml中增添“为请求添加请求头的过滤器”;(这种添加过滤器的方式为第一种,为指定的微服务添加过滤器,如果要为所有路由都添加该过滤器,则可以使用第二种全局配置)
spring:cloud:gateway:routes: # 网关路由配置- id: user-service # 路由id,自定义,只要唯一即可uri: lb://userservice # 路由的目标地址 lb就是负载均衡,后面跟服务名称predicates: # 路由断言,也就是判断请求是否符合路由规则的条件- Path=/user/** # 这个是按照路径匹配,只要以/user/开头就符合要求fileters: # 路由过滤器- AddRequestHeader=Truth,Dio is f**king awesome! # 第一个位置写请求头,第二个位置写内容
验证是否添加了请求头,修改UserController中queryById代码如下,其中@RequestHeader注解用于从请求头中取出相应的部分,设置required为false是为了表示该部分并不是必要的,有的话就拿过来,没有就算了。
@GetMapping("/{id}")public User queryById(@PathVariable("id") Long id,@RequestHeader(value = "Truth",required = false) String truth) {System.out.println("添加的请求头为:"+truth);return userService.queryById(id);}
进行上述2步修改之后,确认无误,重新启动GatewayApplication和UserApplication,之后通过向10010端口发送请求(注意不再是UserService的8081端口),因为要请求要现发给网关,网关在微服务的前边,换句话说,微服务在网关的下游,成功之后应该有如下效果,通过浏览器访问http://localhost:10010/user/1,结果是:
至此,过滤器添加成功。
如果需要为所有路由添加过滤器,可以使用方式二:
spring:cloud:gateway:routes: # 网关路由配置- id: user-service # 路由id,自定义,只要唯一即可uri: lb://userservice # 路由的目标地址 lb就是负载均衡,后面跟服务名称predicates: # 路由断言,也就是判断请求是否符合路由规则的条件- Path=/user/** # 这个是按照路径匹配,只要以/user/开头就符合要求
# filters: # 过滤器
# - AddRequestHeader=Truth, Itcast is freaking awesome! # 添加请求头default-filters: # 默认过滤项,针对所有路由的路由过滤器。- AddRequestHeader=Truth, Itcast is freaking awesome!
4.全局路由过滤器
在3.路由过滤器/网关过滤器GatewayFilter中我们学习了路由过滤器,但这些路由过滤器都是通过配置定义的,其处理的业务逻辑是固定的,如果我们有别的业务需求,给定的31个路由过滤器都无法满足该如何?此时需要全局路由过滤器让我们能够处理自己的业务逻辑。
参数解释
- ServerWebExchange exchange表示请求上下文,指代请求从进入网关开始一直到结束为止整个流程中都可以共享exchange对象。在该对象中可以获取:
- 请求相关的信息
- 响应相关的信息
- 可以在里边存取内容
- GatewayFilterChain chain是过滤器链,过滤器链上除了当前过滤器还有其他过滤器,其作用是放行(调用该过滤器链,让其向后走,也就是当前过滤器的业务逻辑已经全部执行完毕,交给后续过滤器处理)
public interface GlobalFilter {/*** 处理当前请求,有必要的话通过{@link GatewayFilterChain}将请求交给下一个过滤器处理* @param exchange 请求上下文,里面可以获取Request、Response等信息* @param chain 过滤器链,用来把请求委托给下一个过滤器 * @return {@code Mono<Void>} 返回标示当前过滤器业务结束*/Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain);
}
验证代码
需求:定义全局过滤器,拦截请求,判断请求的参数是否满足下面条件:
- 参数中是否有authorization,
- authorization参数值是否为admin
如果同时满足则放行,否则拦截
在cn.itcast.gateway.filter包下建立AuthFilter实现 GlobalFilter, Ordered接口,编写业务代码;
其中,继承Ordered 是为了标明该过滤器的位次(-2147483647到2147483647),数字越小越靠前。
@Component
public class AuthFilter implements GlobalFilter, Ordered {@Overridepublic Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {//1.从上下文中取出请求中的参数MultiValueMap<String, String> params = exchange.getRequest().getQueryParams();//2.获取auth参数String authorization = params.getFirst("authorization");//3.判断,执行放行逻辑if(authorization!=null&&authorization.equals("admin")){return chain.filter(exchange); }//4.禁止通行exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);return exchange.getResponse().setComplete();}@Overridepublic int getOrder() {return -1;}
}
然后重启GatewayApplication即可,直接访问/user/1接口:
由于未添加认证,所以显示401
添加认证之后(http://localhost:10010/user/1?authorization=admin)访问成功
5.过滤器链执行顺序
请求进入网关会遇到3种:当前路由的过滤器,默认路由过滤器,全局路由过滤器
排序的规则?
- 每一个过滤器都必须指定一个int类型的order值,order值越小,优先级越高,执行顺序越靠前。
- GlobalFilter通过实现Ordered接口,或者添加@Order注解来指定order值,由我们自己指定
- 路由过滤器和defaultFilter的order由Spring指定,默认是按照声明顺序从1递增。
- 当过滤器的order值一样时,会按照 defaultFilter > 路由过滤器 > GlobalFilter的顺序执行。
6.网关的跨域配置
跨域:域名不一致就是跨域,主要包括:
-
域名不同: www.taobao.com 和 www.taobao.org 和 www.jd.com 和 miaosha.jd.com
-
域名相同,端口不同:localhost:8080和localhost8081
跨域问题:浏览器禁止请求的发起者与服务端发生跨域ajax请求,请求被浏览器拦截的问题,而微服务之间是直接相互请求的,没有浏览器的参与,也就并不存在跨域的问题。
找到课前资料的页面文件index.html
放入tomcat或者nginx这样的web服务器中,启动并访问。
可以在浏览器控制台看到下面的错误:
从localhost:8090访问localhost:10010,端口不同,显然是跨域的请求。
解决跨域问题
在gateway网关配置文件中添加如下配置:
spring:cloud:gateway:# 。。。globalcors: # 全局的跨域处理add-to-simple-url-handler-mapping: true # 解决options请求被拦截问题corsConfigurations:'[/**]':allowedOrigins: # 允许哪些网站的跨域请求 - "http://localhost:8090"allowedMethods: # 允许的跨域ajax的请求方式- "GET"- "POST"- "DELETE"- "PUT"- "OPTIONS"allowedHeaders: "*" # 允许在请求中携带的头信息allowCredentials: true # 是否允许携带cookiemaxAge: 360000 # 这次跨域检测的有效期
