转载请标明出处:

http://blog.csdn.net/forezp/article/details/78616779

本文出自方志朋的博客

简介

采用openresty 开发出的api网关有很多,比如比较流行的kong、orange等。这些API 网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。

技术栈

本小节采用了以下的技术栈:

  • Openresty(lua+nginx)
  • mysql
  • redis
  • cjson

验证流程

  • 用户请求经过nginx,nginx的openresty的模块通过拦截请求来进行权限判断

  • openresty的access_by_lua_file模块,进行了一系列的判断

    • 用户的请求是否为白名单uri,如果为白名单uri,则直接通过验证,进入下一个验证环节content_by_lua_file,这个环节直接打印一句话:“恭喜,请求通过。”
    • 如果用户请求不为白名单url,则需要取出请求header中的token,如果请求的header不存在token,则直接返回结果401,无权限访问。
    • 如果用户请求的uri的请求头包含token ,则取出token,解密token取出用户id
    • 根据取出的userid去查询数据库获取该用户的权限,如果权限包含了该请求的uri,请求可以通过,否则,请求不通过。

  • 请求如果通过access_by_lua_file模块,则进入到content_by_lua_file模块,该模块直接返回一个字符串给用户请求,在实际的开发中,可能为路由到具体的应用程序的服务器。

验证流程图如下所示:

vim /usr/example/example.conf ,加上以下的配置:

 location / {

    default_type "text/html";

    access_by_lua_file /usr/example/lua/api_access.lua;

    content_by_lua_file /usr/example/lua/api_content.lua;

  }

以上的配置表示,要不符合已有location路径的所有请求,将走这个location为/ 的路径。符合这个location的请求将进入 access_by_lua_file和 content_by_lua_file的模块判断。

vim /usr/example/lua/access_by_lua_file ,加上以下代码:

local tokentool = require "tokentool"

local mysqltool = require "mysqltool"

 function is_include(value, tab)

   for k,v in ipairs(tab) do

      if v == value then

           return true

       end

    end

    return false

 end

local white_uri={"/user/login","/user/validate"}

--local user_id = ngx.req.get_uri_args()["userId"]

--获取header的token值

local headers = ngx.req.get_headers()

local token=headers["token"]

local url=ngx.var.uri

if ( not token) or (token==null) or (token ==ngx.null) then

  if is_include(url,white_uri)then

  else

    return ngx.exit(401)

  end

else

  ngx.log(ngx.ERR,"token:"..token)

  local user_id=tokentool.get_user_id(token)

  if (not user_id) or( user_id ==null) or ( user_id == ngx.null) then

      return ngx.exit(401)

  end 

  ngx.log(ngx.ERR,"user_id"..user_id)

  local permissions={}

  permissions =tokentool.get_permissions(user_id)

  if(not permissions)or(permissions==null)or( permissions ==ngx.null) then

      permissions= mysqltool.select_user_permission(user_id)

      if permissions and permissions ~= ngx.null then

         tokentool.set_permissions(user_id,permissions)

      end

  end

  if(not permissions)or(permissions==null)or( permissions ==ngx.null) then

     return ngx.exit(401)

  end

  local is_contain_permission = is_include(url,permissions) 

  if is_contain_permission == true  then

     -- ngx.say("congratuation! you have pass the api gateway")

  else

      return ngx.exit(401)

  end

end

在上述代码中:

  • is_include(value, tab),该方法判断某个字符串在不在这个table中。
  • white_uri={"/user/login","/user/validate"} 是一个白名单的列表。
  • local headers = ngx.req.get_headers()从请求的uri的请求头获取token
  • is_include(url,white_uri)判断该url是否为白名单url
  • local user_id=tokentool.get_user_id(token)根据token获取该token对应的用户的user_id,在常见情况下,是根据token解析出user_id,但在不同的语言加密和加密token存在盐值不一样的情况,比较麻烦,所以我偷了个懒,直接存了redis,用户登录成功后存一下。
  • permissions =tokentool.get_permissions(user_id)根据user_id

    从redis获取该用户的权限。
  • permissions= mysqltool.select_user_permission(user_id)如果redis没有存该用户的权限,则从数据库读。
  • tokentool.set_permissions(user_id,permissions),将从数据库中读取的权限点存在reddis中。
  • local is_contain_permission = is_include(url,permissions),判断该url 在不在该用户对应的权限列表中。

如果所有的判断通过,则该用户请求的具有权限访问,则进入content_by_lua_file模块,直接在这个模块给请求返回“congratulations! you have passed the api gateway”。

vim /usr/example/lua/api_content.lua ,添加以下内容:

ngx.say("congratulations!"," you have passed ","the api gateway")

----200状态码退出

return ngx.exit(200)

验证演示

打开浏览器访问http://116.196.177.123/user/login,浏览器显示:

congratulations! you have passed the api gateway

/user/login这个url 在白名单的范围内,所以它是可以通过权限验证的。

打开浏览器访问http://116.196.177.123/user/sss,显示以下内容:

401 Authorization Required

openresty/1.11.2.4

在redis中添加一对key-value,key为token_forezp,value为1,即token_forezp对应的用户的id为1.

/usr/servers/redis-3.2.6

src/redis-cli

set token_forezp 1

初始化以下的sql脚本,即给用户id为1的用户关联角色,角色并关联权限:

INSERT INTO `permission` VALUES ('1', '/user/orgs');

INSERT INTO `role` VALUES ('1', 'user');

INSERT INTO `role_permission` VALUES ('1', '1', '1');

INSERT INTO `user` VALUES ('1', 'forezp');

INSERT INTO `user_role` VALUES ('1', '1', '1');

用postman请求,在请求头中加入token,值为token_forezp,请求结果如下:




扫码关注公众号有惊喜

(转载本站文章请注明作者和出处 方志朋的博客

Openresty最佳案例 | 第9篇:Openresty实现的网关权限控制的更多相关文章

  1. Openresty最佳案例 | 第3篇:Openresty的安装

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616645 本文出自方志朋的博客 我的服务器为一台全新的centos 7的服务器,所以从 ...

  2. Openresty最佳案例 | 第8篇:RBAC介绍、sql和redis模块工具类

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616738 本文出自方志朋的博客 RBAC介绍 RBAC(Role-Based Acce ...

  3. Openresty最佳案例 | 第4篇:OpenResty常见的api

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616660 本文出自方志朋的博客 获取请求参数 vim /usr/example/exa ...

  4. Openresty最佳案例 | 第2篇:Lua入门

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616622 本文出自方志朋的博客 什么是lua Lua 是一种轻量小巧的脚本语言,用标准 ...

  5. Openresty最佳案例 | 第7篇: 模块开发、OpenResty连接Redis

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616714 本文出自方志朋的博客 Lua模块开发 在实际的开发过程中,不可能把所有的lu ...

  6. Openresty最佳案例 | 第6篇:OpenResty连接Mysql

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616698 本文出自方志朋的博客 centos 安装mysl Centos系统下安装my ...

  7. Openresty最佳案例 | 第5篇:http和C_json模块

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616672 本文出自方志朋的博客 http客户端 Openresty没有提供默认的Htt ...

  8. Openresty最佳案例 | 第1篇:Nginx介绍

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616591 本文出自方志朋的博客 Nginx 简介 Nginx是一个高性能的Web 服务 ...

  9. Openresty最佳案例 | 汇总

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616856 本文出自方志朋的博客 目录 Openresty最佳案例 | 第1篇:Ngin ...

随机推荐

  1. ionic2 目录

    首先 ionic2 暂时找不到中文文档.本人英语又很渣.无奈之下只能依赖于百度翻译.完全是已自己理解的方式运作 ,可能里面会有一些偏差之类的 不过我都测试过代码是可以跑通的 只不过讲解的部分可能... ...

  2. 关于两个 IQueryable 合并

    原先根据需求要对数据进行两种筛选,起初写过滤条件,但是过滤后发现有的数据重叠.因此改为查询两次. 因为查询后返回的是两个相同的.匿名的 IQueryable ,最终的目的是想两个 类型结合成一个. 参 ...

  3. Python爬虫之requests模块(1)

    一.引入 Requests 唯一的一个非转基因的 Python HTTP 库,人类可以安全享用. 警告:非专业使用其他 HTTP 库会导致危险的副作用,包括:安全缺陷症.冗余代码症.重新发明轮子症.啃 ...

  4. Java将科学计数法数据转为字符串

    如果Excel单元格数据类型为数值,数字太长会变成科学计数法,Java读取的时候使用如下方法可将其转为字符串 BigDecimal bd = new BigDecimal("3.000085 ...

  5. 【转】成型滤波与匹配滤波的MATLAB实现

    转载自:https://blog.csdn.net/yuan1164345228/article/details/45919315 Fd=1; Fs=8; Delay=3; R=0.5; [yf,tf ...

  6. 基本类型int强转short时发生了什么?

    我们知道java中一个int类型占32bits(4字节),一个short占16bits(2字节)强制转换时只取低16位(short类型占的那16位),高16位(去掉低位多出来的那部分)属于溢出不计算, ...

  7. VC++动态链接库(DLL)编程

    一.概论 1:http://www.pconline.com.cn/pcedu/empolder/gj/vc/0509/698632.html 2:http://pcedu.pconline.com. ...

  8. 移动端调试工具weinre

    前段时间在大豹公众号上看到一个关于移动端调试的工具,了解了一下,确实不错. npm install -g weinre 先全局安装,然后使用的时候通过如下命令启动 weinre --boundHost ...

  9. 使用错误的操作系统用户exp数据导致ORA-15186错误

    生产环境alert日志中出现如下错误:Fri Dec 30 14:28:28 2016Errors in file XXXXXX.trc:ORA-15186: ASMLIB error functio ...

  10. NO.007-2018.02.12《白头吟》两汉:卓文君

    白头吟_古诗文网_解析_鉴赏_赏析 白头吟 两汉:卓文君 白头吟:乐府<楚调曲>调名.据<西京杂记>卷三载,蜀地巨商卓王孙的女儿卓文君,聪明美丽,有文采,通音乐.孀居在家时,与 ...