介绍

作为 API 网关，通常负责路由、负载均衡、安全控制等功能。进行 统一鉴权 的做法意味着将所有微服务的认证和授权逻辑集中到网关层，而不是每个微服务单独实现。这样做有许多好处，微服务只关心核心业务逻辑，不需要处理身份验证、权限验证等安全问题，减少了开发人员的负担。网关可以统一处理多种认证方式，如 JWT、OAuth 2.0、Basic Auth、API Key 等，灵活配置不同的认证机制。

微服务模块介绍

gateway-service：网关模块 包括：负载均衡 路由拦截 权限校验
user-service ：用户模块 包括：用户登录 获取个人信息 等
goods-service：购物车模块 获取商品信息 搜索

全局POM依赖

以下配置需要在全部微服务中进行引入

 <!-- Sa-Token 权限认证（Reactor响应式集成）, 在线文档：https://sa-token.cc --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-reactor-spring-boot-starter</artifactId><version>1.39.0</version></dependency><!-- Sa-Token 整合 Redis （使用 jackson 序列化方式） --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-redis-jackson</artifactId><version>1.39.0</version></dependency><!-- Sa-Token工具 --><dependency><groupId>org.apache.commons</groupId><artifactId>commons-pool2</artifactId></dependency>

全局配置文件 集成Redis

以下配置需要在全部微服务中进行引入

spring:redis:# Redis数据库索引（默认为0）database: 1# Redis服务器地址host: 127.0.0.1# Redis服务器连接端口port: 6379# Redis服务器连接密码（默认为空）# password:# 连接超时时间timeout: 10slettuce:pool:# 连接池最大连接数max-active: 200# 连接池最大阻塞等待时间（使用负值表示没有限制）max-wait: -1ms# 连接池中的最大空闲连接max-idle: 10# 连接池中的最小空闲连接min-idle: 0
sa-token:# token 有效期（单位：秒） 默认30天，-1 代表永久有效timeout: 2592000# token 最低活跃频率（单位：秒），如果 token 超过此时间没有访问系统就会被冻结，默认-1 代表不限制，永不冻结active-timeout: 10# 是否允许同一账号多地同时登录 （为 true 时允许一起登录, 为 false 时新登录挤掉旧登录）is-concurrent: true# 在多人登录同一账号时，是否共用一个 token （为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token）is-share: true# token 风格（默认可取值：uuid、simple-uuid、random-32、random-64、random-128、tik）token-style: uuid# 是否输出操作日志is-log: true

---

网关微服务

配置文件

server:
spring:    application:name: gateway #服务名称cloud:nacos:server-addr: 172.23.4.128:8848 #注册中心gateway:routes:- id: java-user #路由ID 一般为服务名称uri: lb://java-user #转发的路径 lb为负载均衡 java-user为服务接口predicates: #路由条件- Path=/user/** #请求接口路径# - Path=/user/**,/path/**    多个控制器这样写- id: java-goodsuri: lb://java-goodspredicates:- Path=/goods/**

全局过滤器

网关对所有的请求进行拦截

java">/*** [Sa-Token 权限认证] 配置类* @author click33*/
@Configuration
public class SaTokenConfigure {// 注册 Sa-Token全局过滤器@Beanpublic SaReactorFilter getSaReactorFilter() {return new SaReactorFilter()// 拦截地址.addInclude("/**")    /* 拦截全部path */// 开放地址.addExclude("/favicon.ico")// 鉴权方法：每次访问进入.setAuth(obj -> {// 登录校验 -- 拦截所有路由，并排除/user/doLogin 用于开放登录SaRouter.match("/**", "/user/login", r -> StpUtil.checkLogin());})// 异常处理方法：每次setAuth函数出现异常时进入.setError(e -> {return SaResult.error(e.getMessage());//SaResult.error(e.getMessage())  可以修改成自己的});}
}

网关转发鉴权

网关通过权限校验后，会将请求转发到对应的微服务上，这时子微服务也会有相对于的权限校验需要把改用户的token一起转发，这样子微服务的权限校验才会通过。方法还很简单只需要在头发的头部添加SAME_TOKEN参数即可

java">/*** 全局过滤器，为请求添加 Same-Token*/
@Component
public class ForwardAuthFilter implements GlobalFilter {@Overridepublic Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {ServerHttpRequest newRequest = exchange.getRequest().mutate()// 为请求追加 Same-Token 参数.header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken()).build();ServerWebExchange newExchange = exchange.mutate().request(newRequest).build();return chain.filter(newExchange);}
}

---

用户微服务

spring:application:name: java-user #服务名称

登录接口

java">@RestController
@AllArgsConstructor
@RequestMapping("/user")
public class UserController {private  final  IUserService userService;@PostMapping("/login")public SaResult   login(@RequestBody User retUser){System.out.println("用户登录");LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();queryWrapper.eq(User::getPhone, retUser.getPhone()).eq(User::getPassword,retUser.getPassword());User user = userService.getOne(queryWrapper);if(user==null){return SaResult.error("账号或密码错误");}System.out.println(user);StpUtil.login(user.getId());SaTokenInfo tokenInfo = StpUtil.getTokenInfo();return SaResult.ok(tokenInfo.getTokenValue());}
}

---

商品微服务

spring:application:name: java-goods #服务名称

商品权限校验

java">/*** Sa-Token 权限认证 配置类*/
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {// 注册 Sa-Token 全局过滤器@Beanpublic SaServletFilter getSaServletFilter() {return new SaServletFilter().addInclude("/**").addExclude("/favicon.ico").setAuth(obj -> {// 校验 Same-Token 身份凭证     —— 以下两句代码可简化为：SaSameUtil.checkCurrentRequestToken();String token = SaHolder.getRequest().getHeader(SaSameUtil.SAME_TOKEN);SaSameUtil.checkToken(token);}).setError(e -> {return "无访问权限";});}
}

如果通过网关转发，可以正常访问。如果直接访问子服务会提示：无效Same-Token：xxx

服务间内部调用鉴权

在微服务架构中，服务间调用鉴权是确保服务之间安全通信的一种机制，防止未经授权的访问。每当一个微服务调用另一个微服务时，都需要验证调用者的身份和权限。常见的服务间鉴权方式包括基于令牌的鉴权、API Key、OAuth2、JWT（JSON Web Token）等方式。

创建OpenFeignConfig请求拦截器

java">/*** feign拦截器, 在feign请求发出之前，加入一些操作 */
@Component
public class FeignInterceptor implements RequestInterceptor {// 为 Feign 的 RCP调用 添加请求头Same-Token @Overridepublic void apply(RequestTemplate requestTemplate) {requestTemplate.header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken());// 如果希望被调用方有会话状态，此处就还需要将 satoken 添加到请求头中// requestTemplate.header(StpUtil.getTokenName(), StpUtil.getTokenValue());}
}

OpenFeignConfig请求接口

被调用方的代码无需更改，保持启动测试即可

java">@FeignClient(name = "java-goods",                 // 服务名称configuration = FeignInterceptor.class      // 请求拦截器 （关键代码）
)
public interface GoodsClient {@GetMapping("/goods/list")List<Goods> list();//    List<Goods> list(@RequestParam("ids") List<Long> ids);
//传承就这样写}