网站规划,嘉兴网站关键字优化,怎样加快网站收录,怎样建立一个免费的网站#x1f333;#x1f333;#x1f333;#x1f333;#x1f333;#x1f333;#x1f333; 学习授权规则前#xff0c;先想想SpringCloud Gateway的黑白名单#xff0c;请求过网关#xff0c;gateway会去鉴权。但如果有人把微服务信息泄露出去了呢#xff1f;此时微… 学习授权规则前先想想SpringCloud Gateway的黑白名单请求过网关gateway会去鉴权。但如果有人把微服务信息泄露出去了呢此时微服务直接暴露在外绕过网关直接访问微服务又该如何解决 文章目录 1、授权规则2、授权规则的代码实现逻辑3、自定义异常结果4、规则持久化5、push方式的实现 1、授权规则
授权规则可以对调用方的来源做控制有白名单和黑名单两种方式。
白名单来源origin在白名单内的调用者允许访问黑名单来源origin在黑名单内的调用者不允许访问 例如我们限定只允许从网关来的请求访问order-service那么流控应用中就填写网关的名称。 2、授权规则的代码实现逻辑
Sentinel是通过RequestOriginParser这个接口的parseOrigin来获取请求的来源的。
public interface RequestOriginParser {/*** 从请求request对象中获取origin获取方式自定义*/ String parseOrigin(HttpServletRequest request);
}
但默认情况下该方法都返回default即不能分辨是来自网关的请求还是直接调用的请求。在微服务order中重写下这个方法的逻辑
Component
public class HeaderOriginParser implements RequestOriginParser {Override public String parseOrigin(HttpServletRequest request) {String origin request.getHeader(origin); if(StringUtils.isEmpty(origin)){ return blank; //origin为空则返回blank } return origin; //否则返回origin}
}
现在从网关和直接访问的请求头中都不带origin无法分辨但如果我让网关过来的请求头中带上origin就可以分辨了。想加请求头当然是网关的AddRequestHeader过滤器。
在gateway服务中利用网关的过滤器添加名为gateway的origin头
spring:cloud: gateway: default-filters: - AddRequestHeaderorigin,gateway # 添加名为origin的请求头值为gateway
重启order和gateway。在Sentinel配置授权规则 此时我用8088端口直接访问order服务绕过网关 再通过网关访问 总结Sentinel授权规则就是对请求的来源做一个限制。实现逻辑是请求头而请求头可以用SpringCloud Gateway的过滤器来添加。
3、自定义异常结果
默认情况下发生限流、降级、授权拦截时都会抛出异常到调用方而直接抛出异常信息对用户很不友好因此需要自定义异常的返回结果。 如果要自定义异常时的返回结果需要实现BlockExceptionHandler接口 public interface BlockExceptionHandler { /** * 处理请求被限流、降级、授权拦截时抛出的异常BlockException */ void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception;
}
而BlockException包含很多个子类分别对应不同的场景 接下来在调用方order-service中定义类实现BlockExceptionHandler接口并借助instanceof来
Component
public class SentinelBlockHandler implements BlockExceptionHandler {Override public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, BlockException e) throws Exception { String msg 未知异常; int status 429; if (e instanceof FlowException) { msg 请求被限流了; } else if (e instanceof DegradeException) { msg 请求被降级了; } else if (e instanceof ParamFlowException) {msg 热点参数限流; } else if (e instanceof AuthorityException) {msg 请求没有权限; status 401; } httpServletResponse.setContentType(application/json;charsetutf-8); httpServletResponse.setStatus(status); httpServletResponse.getWriter().println({\message\: \ msg \, \status\: status }); }
}
添加一个流控规则看下异常是否是自定义的 4、规则持久化
之前定义的限流规则在服务重启后就被清空了这是因为这些规则存于内存中。Sentinel的控制台规则管理有三种模式
原始模式pull模式push模式 原始模式 控制台配置的规则直接推送到Sentinel客户端也就是我们的应用服务。然后保存在内存中微服务重启则规则丢失 pull模式控制台将配置的规则推送到Sentinel客户端而客户端会将配置规则保存在本地文件或数据库中。以后会定时去本地文件或数据库中查询更新本地规则。 很明显这种方式有时效性问题数据持久化到本地文件当规则更新定时轮询到新规则前规则缓存里还是旧的。 push模式控制台将配置规则推送到远程配置中心例如Nacos。Sentinel客户端去监听Nacos获取配置变更的推送消息后完成本地配置更新。 简单说就是
- 原始模式保存在内存
- pull模式保存在本地文件或数据库定时去读取
- push模式保存在nacos监听变更实时更新
三种方式的对比 5、push方式的实现
接下来实现修改OrderService让其监听Nacos中的sentinel规则配置。
在order-service中引入sentinel监听nacos的依赖
dependencygroupIdcom.alibaba.csp/groupIdartifactIdsentinel-datasource-nacos/artifactId
/dependency在order-service中的application.yml文件配置nacos地址及监听的配置信息
spring:cloud:sentinel:datasource:flow:nacos:server-addr: localhost:8848 # nacos地址dataId: orderservice-flow-rulesgroupId: SENTINEL_GROUPrule-type: flow # 还可以是degrade、authority、param-flow#如果还有其他类型的限流下面继续和flow同级写degrade:nacos:server-addr: localhost:8848 # nacos地址dataId: orderservice-degrade-rulesgroupId: SENTINEL_GROUPrule-type: degradeSentinelDashboard默认不支持nacos的持久化需要修改源码。关于这个操作跳另一篇【Sentinel规则持久化到nacos的实现源码修改】
