zuul权限校验、接口限流

 项目代码GitHub地址https://github.com/yudiandemingzi/spring-cloud-study

一、权限校验搭建

正常项目开发时,权限校验可以考虑JWT和springSecurity结合进行权限校验,这个后期会总结,这里做个基于ZuulFilter过滤器进行一个简单的权限校验过滤。

对于组件zuul中,其实带有权限认证的功能,那就是ZuulFilter过滤器。ZuulFilter是Zuul中核心组件,通过继承该抽象类,覆写几个关键方法达到自定义调度请求的作用

使用到的组件包括:Eureka、Feign、Zuul,包括以下四个项目:

(1)Eureka-server: 7001 注册中心

(2)product-server : 8001 商品微服务

(3)order-server : 9001 订单微服务

(4)zuul-gateway : 6001 Zuul网关

有关四个服务的基本配置我这里就不写了,具体可以看之前几篇博客,这里只写LoginFilter权限校验类

1、LoginFilter类

/**

 * 登录过滤器
 *记得类上加Component注解

 */

@Component

public class LoginFilter extends ZuulFilter {

    /**

     * 过滤器类型,前置过滤器

     */

    @Override

    public String filterType() {

        return PRE_TYPE;

    }

    /**

     * 过滤器顺序,越小越先执行

     */

    @Override

    public int filterOrder() {

        return 4;

    }

    /**

     * 过滤器是否生效

     * 返回true代表需要权限校验,false代表不需要用户校验即可访问

     */

    @Override

    public boolean shouldFilter() {

        //共享RequestContext,上下文对象

        RequestContext requestContext = RequestContext.getCurrentContext();

        HttpServletRequest request = requestContext.getRequest();

        System.out.println(request.getRequestURI());

        //需要权限校验URL

        if ("/apigateway/order/api/v1/order/save".equalsIgnoreCase(request.getRequestURI())) {

            return true;

        } else if ("/apigateway/order/api/v1/order/list".equalsIgnoreCase(request.getRequestURI())) {

            return true;

        } else if ("/apigateway/order/api/v1/order/find".equalsIgnoreCase(request.getRequestURI())) {

            return true;

        }

        return false;

    }

    /**

     * 业务逻辑

     * 只有上面返回true的时候,才会进入到该方法

     */

    @Override

    public Object run() throws ZuulException {

        //JWT

        RequestContext requestContext = RequestContext.getCurrentContext();

        HttpServletRequest request = requestContext.getRequest();

        //token对象,有可能在请求头传递过来,也有可能是通过参数传过来,实际开发一般都是请求头方式

        String token = request.getHeader("token");

        if (StringUtils.isBlank((token))) {

            token = request.getParameter("token");

        }

        System.out.println("页面传来的token值为:" + token);

        //登录校验逻辑  如果token为null,则直接返回客户端,而不进行下一步接口调用

        if (StringUtils.isBlank(token)) {

            // 过滤该请求,不对其进行路由

            requestContext.setSendZuulResponse(false);

            //返回错误代码

            requestContext.setResponseStatusCode(HttpStatus.UNAUTHORIZED.value());

        }

        return null;

    }

}

2、关键说明

(1)方法说明

filterType : filter类型,分为pre、error、post、 route

filterOrder: filter执行顺序,通过数字指定,数字越小,执行顺序越先

shouldFilter: filter是否需要执行 true执行 false 不执行

run : filter具体逻辑(上面为true那么这里就是具体执行逻辑)

(2)filter类型说明

pre: 请求执行之前filter

route: 处理请求,进行路由

post: 请求处理完成后执行的filter

error: 出现错误时执行的filter

3、测试

先在请求头和传参都不传token,校验失败:返回401状态码

在参数的时候传入token值

看后台输出

说明模拟校验通过,返回用户信息。

二、接口限流搭建

接口限流可以在nginx层面做限流,也可以在网关层面做限流,这里在网关层面做限流,基于guava框架来做网关限流。

先对guava框架限流的概念进行讲解下:

它的大致意思就是每一个请求进来先到桶里去拿令牌,拿到令牌的请求放行,假设你设置了1000个令牌,如果拿完了,那么后面来调接口的请求就需要排队等有新的令牌才能调用该接口。

OrderRateLimiterFilter限流过滤类

/**

 * 订单限流

 *其它和上面都一样,只是run()中逻辑不一样

 */

@Component

public class OrderRateLimiterFilter extends ZuulFilter {

    //每秒产生1000个令牌

    private static final RateLimiter RATE_LIMITER = RateLimiter.create(1000);

    @Override

    public String filterType() {

        return PRE_TYPE;

    }

    @Override

    public int filterOrder() {

        return -4;

    }

    @Override

    public boolean shouldFilter() {

        RequestContext requestContext = RequestContext.getCurrentContext();

        HttpServletRequest request = requestContext.getRequest();

        //只对订单接口限流

        if ("/apigateway/order/api/v1/order/save".equalsIgnoreCase(request.getRequestURI())) {

            return true;

        }

        return false;

    }

    @Override

    public Object run() throws ZuulException {

        RequestContext requestContext = RequestContext.getCurrentContext();

        //就相当于每调用一次tryAcquire()方法,令牌数量减1,当1000个用完后,那么后面进来的用户无法访问上面接口

        //当然这里只写类上面一个接口,可以这么写,实际可以在这里要加一层接口判断。

        if (!RATE_LIMITER.tryAcquire()) {

            requestContext.setSendZuulResponse(false);

            //HttpStatus.TOO_MANY_REQUESTS.value()里面有静态代码常量

            requestContext.setResponseStatusCode(HttpStatus.TOO_MANY_REQUESTS.value());

        }

        return null;

    }

}

我只是偶尔安静下来,对过去的种种思忖一番。那些曾经的旧时光里即便有过天真愚钝,也不值得谴责。毕竟,往后的日子,还很长。不断鼓励自己,

天一亮,又是崭新的起点,又是未知的征程(上校10)

SpringCloud(8)---zuul权限校验、接口限流的更多相关文章

  1. SpringCloud(六)之 网关概念、Zuul项目搭建-(利用Zuul 实现鉴权和限流实战)

    一.网关概念 1.什么是路由网关 网关是系统的唯一对外的入口,介于客户端和服务器端之间的中间层,处理非业务功能 提供路由请求.鉴权.监控.缓存.限流等功能.它将"1对N"问题转换成 ...

  2. SpringCloud之Zuul高并发情况下接口限流(十二)

    高并发下接口限流技术gauva(谷歌的框架) MySql最大连接数3000: 原理:框架每秒向桶里放100个令牌,接口请求来了先去拿令牌,拿到令牌后才能继续向后走,否则不允许向后执行:当接口请求太频繁 ...

  3. Spring Cloud(7):Zuul自定义过滤器和接口限流

    上文讲到了Zuul的基本使用: https://www.cnblogs.com/xuyiqing/p/10884860.html 自定义Zuul过滤器: package org.dreamtech.a ...

  4. Spring Cloud Alibaba基础教程:使用Sentinel实现接口限流

    最近管点闲事浪费了不少时间,感谢网友libinwalan的留言提醒.及时纠正路线,继续跟大家一起学习Spring Cloud Alibaba. Nacos作为注册中心和配置中心的基础教程,到这里先告一 ...

  5. 库存秒杀问题-redis解决方案- 接口限流

    <?php/** * Created by PhpStorm. * redis 销量超卖秒杀解决方案 * redis 文档:http://doc.redisfans.com/ * ab -n 1 ...

  6. 基于注解的接口限流+统一session认证

    代码心得: 一个基本的做法:对于用户身份认证做到拦截器里,针对HandlerMethod进行统一拦截认证,根据方法上的注解标识,判别是否需要身份验证,并将查找出来的User实体存入ThreadLoca ...

  7. 【Dnc.Api.Throttle】适用于.Net Core WebApi接口限流框架

    Dnc.Api.Throttle    适用于Dot Net Core的WebApi接口限流框架 使用Dnc.Api.Throttle可以使您轻松实现WebApi接口的限流管理.Dnc.Api.Thr ...

  8. Guava的RateLimiter实现接口限流

    最近开发需求中有需要对后台接口进行限流处理,整理了一下基本使用方法. 首先添加guava依赖: <dependency> <groupId>com.google.guava&l ...

  9. 使用google的guova开发高并发下的接口限流

    使用google的guova开发高并发下的接口限流 使用google的guova进行限流 1.guova的限流方式,在定时产生定量的令牌,令牌的数量限制了流量 2.增加一个订单接口限流类OrderRa ...

随机推荐

  1. MSSql-1内部数据库版本号

    源SQL Server版本 内部数据库版本 SQL Server 2017 869 SQL Server 2016 782 SQL Server 2012 706 SQL Server 2008 R2 ...

  2. Codeforces 1070J Streets and Avenues in Berhattan dp

    Streets and Avenues in Berhattan 我们首先能发现在最优情况下最多只有一种颜色会分别在行和列, 因为你把式子写出来是个二次函数, 在两端取极值. 然后我们就枚举哪个颜色会 ...

  3. 随笔【js】

    1.js是大小写敏感的 2. 区别 getElementBy ID , getElementsBy Name,  getElementsBy TagName以人来举例说明,人有能标识身份的身份证,有姓 ...

  4. ImCash:币圈英文术语大全

    近年来随着数字货币的火热,在全世界范围内涌现出了一群数字货币的“发烧友”和忠实投资者,他们形成了自己的圈子“币圈”,并且有了自己的文化和语言,今天就让我们一起来了解一下外国币圈有哪些有意思的英文“专用 ...

  5. P2649 - 【NOIP2017】列队

    Description Sylvia 是一个热爱学习的女孩子. 前段时间,Sylvia 参加了学校的军训.众所周知,军训的时候需要站方阵. Sylvia 所在的方阵中有 n×m 名学生,方阵的行数为 ...

  6. 神奇高效的Linux命令行

    一.为什么要学linux命令 Linux是由命令行组成的操作系统,精髓在命令行,无论图形界面发展到什么水平,命令行方式的操作永远是不会变的.Linux命令有许多强大的功能:从简单的磁盘操作.文件存取, ...

  7. vue-cli+mock.js+axios模拟前后台数据交互

    最近工作不是很忙,自己做了一个vue的移动端的小项目,涉及到后台数据的时候,网上查阅了一些资料,因为是自己写的项目没有后台只能自己模拟数据,刚开始就自己写了一些静态数据后来觉得尽量模拟真实的比较好些, ...

  8. 记使用aliyun-log-logback-appender 报错no applicable action for [encoder], current ElementPath is [[configuration][appender][encoder]]

    依赖: <dependency> <groupId>com.aliyun.openservices</groupId> <artifactId>aliy ...

  9. 权限组件之rbac

    rbac:基于角色的权限访问控制(Role-Based Access Control). rbac的主要流程:给每个角色赋予不同的权限,是这个角色的员工都有这个角色的所有权限.一个角色可以有多个人员担 ...

  10. node-basis(提供nodejs开发的基础包)

    地址: https://github.com/flybirdsoft/use-node-basis