SpringCloudGateWay和Sentinel结合做黑白名单来源控制

ops/2025/2/28 11:54:54/

假设我们的分布式项目,admin是8087,gateway是8088,consumer是8086

我们一般的思路是我们的请求必须经过我们的网关8088然后网关转发到我们的分布式项目,那我要是没有处理我们绕过网关直接访问项目8087和8086不也是可以?

所以我们会有个黑白名单来源控制来对这种特殊情况做处理

不用sentinel的做法

我们在网关那在转发请求的时候+一个请求头,请求头的值固定

然后这个请求头相当于密钥我们不会对外暴露,然后在java代码的拦截器中我们拦截请求判断这个请求头是否和配置一样

优点:简单

缺点:我们要是请求头泄漏,我们发起请求的时候可以伪造请求头这样子我们仍然能跨网关访问

用Sentinel的做法

sentinel+请求头判断来源做法

控制调用方

把我们的调用方分为白名单和黑名单

我们要的名称其实是origin

RequestOriginParser接口

我们的sentinel是通过这个接口里的parseOrigin()这个方法,来获取请求的来源的

这个方法的作用就是,从我们的request对象中解析出我们的origin的值

可惜,默认情况下这个方法返回的结果是default

如果不为空,那我们就把我们的origin作为请求头返回

如果浏览器获得的origin头和网关获取的请求头不一样,那他们的来源名称就不一样

这样子我们就可以来编写我们的规则了

区分请求是否经过网关

然后我们的网关有一个过滤器

请求头的名字是origin,然后值是gateway


 

这样我们从网关过来的就有请求头,然后不是从网关过来的就没有请求头

之前如果我们知道正确的url,我们甚至可以绕过网关进行访问,这样子一点都不安全


实现步骤

连接RequestOriginParser接口

然后我们把它注册成一个bean

为网关添加过滤器

看到没,我们网关配置的请求头的origin的值是gateway

总结

我们的sentinel是用这个方法来获取我们的请求来源的

你看我们的返回值是String,我们就通过这个String来判断我们的请求来源

我们默认请求头有origin这个参数

因为我们配置从网关来的,我们的origin的参数时gateway

添加授权


我们刚刚的那个方法返回的参数,就是我们的来源的名称

然后填写我们的来源名称

我们用8088端口绕过网关,发现不行


sentinel限制IP做法 

  • 在业务服务中配置 Sentinel 的 IP 限制规则,只允许网关的 IP 访问。

  • 这种方式适用于网关和服务部署在同一内网环境的情况。

实现步骤

  1. 获取网关的 IP

    • 假设网关的 IP 是 192.168.1.100

  2. 配置 Sentinel 规则

    • 在业务服务中配置 Sentinel 的白名单规则只允许网关的 IP 访问。                               

      import com.alibaba.csp.sentinel.slots.block.RuleConstant;
      import com.alibaba.csp.sentinel.slots.block.authority.AuthorityRule;
      import com.alibaba.csp.sentinel.slots.block.authority.AuthorityRuleManager;
      import org.springframework.context.annotation.Configuration;import javax.annotation.PostConstruct;
      import java.util.Collections;@Configuration
      public class SentinelAuthorityRuleConfig {/*** 配置 Sentinel 的 IP 白名单规则*/@PostConstructpublic void initAuthorityRule() {// 创建 AuthorityRule 规则AuthorityRule rule = new AuthorityRule();rule.setResource("gateway_ip_whitelist"); // 资源名称rule.setStrategy(RuleConstant.AUTHORITY_WHITE); // 白名单模式rule.setLimitApp("192.168.1.100"); // 只允许 Gateway 的 IP 访问// 加载规则AuthorityRuleManager.loadRules(Collections.singletonList(rule));}
      }

3.业务服务层

  • 在业务服务中启用 Sentinel 的流控功能,确保只有网关的请求可以通过

Gateway 的 IP

  • 情况说明:如果 Gateway 没有进行特殊的配置来传递客户端 IP 信息,那么后端服务接收到的请求中的 IP 地址通常是 Gateway 的 IP 地址。
  • 实现方式:这是比较常见的默认情况,例如一些简单的网络代理服务器在转发请求时,如果没有专门设置修改请求头中的 IP 相关信息,后端服务器就只能看到代理服务器(即 Gateway)的 IP 地址,因为在网络数据包传输过程中,源 IP 地址会被替换为 Gateway 的出口 IP 地址。

 如果我们要保留之前的客户端请求的IP,我们要在Gateway做额外处理

文章来源:https://blog.csdn.net/LUCIAZZZ/article/details/145392586
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.ppmy.cn/ops/154508.html

相关文章

react native i18n插值:跨组件trans

想要实现动态插值以及插入元素,如下效果 这个找了蛮久的,官网的例子在我这无效,所以网上找了比较久,没能理解用法。最后是在 github issue 中看到别人的用法,自己理解下实现出来了,所以这里记录下。 例如…

【愚公系列】《循序渐进Vue.js 3.x前端开发实践》036-案例:实现支持搜索和筛选的用户列表

标题详情作者简介愚公搬代码头衔华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主&…

单片机基础模块学习——按键

一、按键原理图 当把跳线帽J5放在右侧,属于独立按键模式(BTN模式),放在左侧为矩阵键盘模式(KBD模式) 整体结构是一端接地,一端接控制引脚 之前提到的都是使用了GPIO-准双向口的输出功能&#x…

力扣动态规划-15【算法学习day.109】

前言 ###我做这类文章一个重要的目的还是给正在学习的大家提供方向(例如想要掌握基础用法,该刷哪些题?建议灵神的题单和代码随想录)和记录自己的学习过程,我的解析也不会做的非常详细,只会提供思路和一些关…

分享|通过Self-Instruct框架将语言模型与自生成指令对齐

结论 在大型 “指令调整” 语言模型依赖的人类编写指令数据存在数量、多样性和创造性局限, 从而阻碍模型通用性的背景下, Self - Instruct 框架, 通过 自动生成 并 筛选指令数据 微调预训练语言模型, 有效提升了其指令遵循能…

vue3和vue2的区别有哪些差异点

Vue3 vs Vue2 主要差异对比指南 官网 1. 核心架构差异 1.1 响应式系统 Vue2:使用 Object.defineProperty 实现响应式 // Vue2 响应式实现 Object.defineProperty(obj, key, {get() {// 依赖收集return value},set(newValue) {// 触发更新value newValue} })Vue3…

视频网站服务器为什么需要使用负载均衡?

随着视频网站等娱乐活动的逐渐增加,进行使用的用户数量也在不断上升,大量的用户会给视频网站行业带来一定的访问压力,需要处理大量的媒体资料,比如上传视频图片和数据保存发布等内容,会消耗大量的带宽资源,…

【C++】STL容器使用与实现详解:vector

文章目录 Ⅰ. vector的介绍和使用一、vector的介绍二、vector的使用 (只列出比较重要的,其他的需要时查文档)1. vector的定义2. vector iterator(迭代器)的使用3. vector 容量问题4. vector 增删查改5. 正确释放 vecto…