SpringCloud 中防止绕过网关请求直接访问后端服务的解决方法

更新时间：2023年06月21日 15:29:26 作者：JAVA日知录

这篇文章主要介绍了SpringCloud中如何防止绕过网关请求直接访问后端服务,本文给大家分享三种解决方案，需要的朋友可以参考下

前言

使用SpringCloud架构后我们希望所有的请求都需要经过网关才能访问，在不作任何处理的情况下我们是可以绕过网关直接访问后端服务的。如下，我们绕过网关直接访问后端服务也是可以获取到数据的。

那我们今天的议题就是如何防止请求绕过网关直接访问后端服务？

解决方案

我觉得防止绕过网关直接请求后端服务的解决方案主要有三种：

使用Kubernetes部署

在使用Kubernetes部署SpringCloud架构时我们给网关的Service配置NodePort，其他后端服务的Service使用ClusterIp，这样在集群外就只能访问到网关了。

网络隔离

后端普通服务都部署在内网，通过防火墙策略限制只允许网关应用访问后端服务。

应用层拦截

请求后端服务时通过拦截器校验请求是否来自网关，如果不来自网关则提示不允许访问。

这里我们着重关注在应用层拦截这种解决方案。

实现思路

实现思路其实也很简单，在请求经过网关的时候给请求头中增加一个额外的Header，在后端服务中写一个拦截器，判断请求头是否与在网关设置的请求Header一致，如果不一致则不允许访问并给出提示。

当然为了防止在每个后端服务都需要编写这个拦截器，我们可以将其写在一个公共的starter中，让后端服务引用即可。而且为了灵活，可以通过配置决定是否只允许后端服务访问。

接下来我们看看核心代码。（代码中涉及 SpringBoot 编写公共Starter的套路，相信看过我博客的同学肯定是会的，因为之前文章有详细说过。）

实现过程

在网关cloud-gateway模块编写网关过滤器

@Component
@Order(0)
public class GatewayRequestFilter implements GlobalFilter {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes());
        String[] headerValues = {new String(token)};
        ServerHttpRequest build = exchange.getRequest()
                .mutate()
                .header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues)
                .build();
        ServerWebExchange newExchange = exchange.mutate().request(build).build();
        return chain.filter(newExchange);
    }
}

在请求经过网关时添加额外的Header，为了方便这里直接设置成固定值。

建立公共Starter模块cloud-component-security-starter

编写配置类，用于灵活控制服务是否允许绕过网关

@Data
@ConfigurationProperties(prefix = "javadaily.cloud")
public class CloudSecurityProperties {
    /**
     * 是否只能通过网关获取资源
     * 默认为True
     */
    private Boolean onlyFetchByGateway = Boolean.TRUE;
}

编写拦截器，用于校验请求是否经过网关

public class ServerProtectInterceptor implements HandlerInterceptor {
    private CloudSecurityProperties properties;
    @Override
    public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){
        if (!properties.getOnlyFetchByGateway()) {
            return true;
        }
        String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER);
        String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes()));
        if (StringUtils.equals(gatewayToken, token)) {
            return true;
        } else {
            ResultData<String> resultData = new ResultData<>();
            resultData.setSuccess(false);
            resultData.setStatus(HttpServletResponse.SC_FORBIDDEN);
            resultData.setMessage("请通过网关访问资源");
            WebUtils.writeJson(response,resultData);
            return false;
        }
    }
    public void setProperties(CloudSecurityProperties properties) {
        this.properties = properties;
    }
}

配置拦截器

public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer {
    private CloudSecurityProperties properties;
    @Autowired
    public void setProperties(CloudSecurityProperties properties) {
        this.properties = properties;
    }
    @Bean
    public HandlerInterceptor serverProtectInterceptor() {
        ServerProtectInterceptor interceptor = new ServerProtectInterceptor();
        interceptor.setProperties(properties);
        return interceptor;
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(serverProtectInterceptor());
    }
}

编写stater装载类

@EnableConfigurationProperties(CloudSecurityProperties.class)
public class CloudSecurityAutoConfigure{
    @Bean
    public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() {
        return new CloudSecurityInterceptorConfigure();
    }
}

建立资源文件spring.factories，配置Bean的自动加载

org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
   com.javadaily.component.security.configure.CloudSecurityAutoConfigure

在后端服务配置文件中添加属性配置，默认只能通过网关访问

javadaily:
  cloud:
    onlyFetchByGateway: true

经过以上几步，一个公共的Starter模块就构建完成了。

后端服务引用此公共Starter模块即可，以account-service为例

<dependency>
	<groupId>com.jianzh5.cloud</groupId>
	<artifactId>cloud-component-security-starter</artifactId>
</dependency>

实现效果

直接访问后端服务接口 http://localhost:8010/account/getByCode/jianzh5

返回结果：

{
"message": "请通过网关访问资源",
"status": 403,
"success": false,
"timestamp": 1611660015830
}

到此这篇关于SpringCloud 中如何防止绕过网关请求后端服务的文章就介绍到这了,更多相关SpringCloud 网关请求后端服务内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

SpringCloud Gateway动态转发后端服务实现过程讲解

浅拷贝和深拷贝原理分析
Java 对象拷贝是为对象赋值的一种方式，简单来说就是创建一个和原对象相同的对象，新创建的对象是原对象的一个副本。面试官贼拉喜欢在面试的时候问一问你浅拷贝和深拷贝的原理
2021-08-08
Intellij idea热部署插件JRebel的使用
这篇文章主要介绍了Intellij idea热部署插件JRebel的使用，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-06-06
springboot微服务项目集成html页面的实现
本文主要介绍了springboot微服务项目集成html页面的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2023-04-04
SpringBoot框架实现切换启动开发环境和测试环境
这篇文章主要介绍了SpringBoot框架实现切换启动开发环境和测试环境，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-12-12
JDK源码之Vector与HashSet解析
HashSet、HashMap、ArrayList、LinkedList、Vector这几个在Java编程中经常用到，他们之间有很多联系，有很多相通的地方,我们这次先了解一下Vector与HashSet
2021-06-06
SpringBoot解决同名类导致的bean名冲突bean name conflicts问题
这篇文章主要介绍了SpringBoot解决同名类导致的bean名冲突bean name conflicts问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-06-06
java中类和对象的详细介绍
这篇文章主要给大家介绍了关于java中类和对象的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-03-03
详解Java基础篇--面向对象1(构造方法,static、this关键字)
这篇文章主要介绍了Java基础篇--面向对象1(构造方法,static、this关键字)，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-04-04
关于Gateway路由匹配规则解读
本文详细介绍了SpringCloudGateway的路由匹配规则,包括基本概念、常用属性、实际应用以及注意事项,路由匹配规则决定了请求如何被转发到目标服务,是Gateway的核心功能之一,在配置路由时需要注意顺序、性能和安全性
2025-02-02
分析JAVA中几种常用的RPC框架
这篇文章主要介绍了JAVA中几种常用的RPC框架的相关知识点，对此有兴趣的朋友参考学习下吧。
2018-03-03