第二代网关GateWay搭建流程
Spring Cloud第二代网关GateWay是由纯Netty开发,底层为Reactor,WebFlux构建,不依赖任何Servlet容器,它不一样于Zuul,使用的是异步IO,性能较Zuul提高1.6倍。搭建过程以下(本次搭建的为子项目,主项目能够参考Nacos搭建流程 )java
pomweb
<dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> </dependency> <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> </dependency>
配置文件正则表达式
server:
port: 8040
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
discovery:
locator:
enabled: true
以上的意思不只是把本身给注册到nacos,而且获取nacos的全部注册服务。redis
启动网关项目,如今就能够进行网络路由了。访问格式为 ip:端口/服务注册名/restfulapi-urlspring
比方说咱们如今有两个微服务项目,一个为user(端口8082),一个为nacos(端口8081).编程
三大核心概念后端
- Route(路由) Spring Cloud Gateway的基础元素,可简单理解成一条转发的规则。包含:ID,目标的URL,Predicate集合以及Filter集合。
- Predicate(谓词) 即java.util.function.Predicate,Spring Cloud Gateway使用Predicate实现路由的匹配条件。这是一个能够进行条件判断的函数式接口,具体能够参考本人博客Java函数式编程整理
- Filter(过滤器) 修改请求以及响应。
因为咱们使用了nacos来进行服务发现,因此咱们使用了以前的配置文件,但若是不使用服务发现,只作常规的转发以下api
spring:
cloud:
gateway:
routes:
- id: some_route
uri: http://www.baidu.com
predicates:
- Path=/user/1
filtes:
- AddRequestHeader=X-Request-Foo, Bar
这段配置的意思是说,当咱们请求/user/1的url的时候,会添加AddRequestHeader=X-Request-Foo, Bar过滤器作一些处理,而后路由到http://www.baidu.com。跨域
路由谓词配置工厂浏览器
路由谓词配置工厂由一整套谓词来进行配置转发的不一样状况。
| 谓词工厂 | 备注 |
|---|---|
| After | 此谓词匹配当前日期时间以后发生的请求。 |
| Before | 此谓词匹配在当前日期时间以前发生的请求。 |
| Between | 此谓词匹配datetime1以后和datetime2以前发生的请求。 datetime2参数必须在datetime1以后。 |
| Cookie | Cookie Route Predicate Factory有两个参数,cookie名称和正则表达式。此谓词匹配具备给定名称且值与正则表达式匹配的cookie。 |
| Header | Header Route Predicate Factory有两个参数,标题名称和正则表达式。与具备给定名称且值与正则表达式匹配的标头匹配。 |
| Host | Host Route Predicate Factory采用一个参数:主机名模式。该模式是一种Ant样式模式“.”做为分隔符。此谓词匹配与模式匹配的Host标头。 |
| Method | Method Route Predicate Factory采用一个参数:要匹配的HTTP方法。 |
| Path | 匹配请求的path |
| Query | Query Route Predicate Factory有两个参数:一个必需的参数和一个可选的正则表达式。 |
| RemoteAddr | RemoteAddr Route Predicate Factory采用CIDR符号(IPv4或IPv6)字符串的列表(最小值为1),例如, 192.168.0.1/16(其中192.168.0.1是IP地址,16是子网掩码)。 |
路由到指定URL
- 通配
如今咱们去掉nacos的配置,不禁nacos来发现
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
此时访问
将跳转到
- 谓词After
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#在2019-12-14日20:26后容许该转发
- After=2019-12-14T20:26:15.667+08:00[Asia/Shanghai]
filters:
#跳转后省略第一个通配
- StripPrefix=1
这里表示在该时间后容许转发,若是咱们将该时间设置为
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#在2019-12-15日20:26后容许该转发
- After=2019-12-15T20:26:15.667+08:00[Asia/Shanghai]
filters:
#跳转后省略第一个通配
- StripPrefix=1
则转发失败,返回404
咱们能够经过如下方法来获取这里的时间设置
public class TimeTest { public static void main(String[] args) { System.out.println(ZonedDateTime.now()); } }
运行结果
2019-12-14T20:43:34.755+08:00[Asia/Shanghai]
- 谓词Before
如今咱们将上面的15号改成Before
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#在2019-12-15日20:26前容许该转发
- Before=2019-12-15T20:26:15.667+08:00[Asia/Shanghai]
filters:
#跳转后省略第一个通配
- StripPrefix=1
此时就能够正常转发,而改为14号则会失败。
- 谓词Between
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#在2019-12-14日20:26到2019-12-15日20:26之间容许该转发
- Between=2019-12-14T20:26:15.667+08:00[Asia/Shanghai],2019-12-15T20:26:15.667+08:00[Asia/Shanghai]
filters:
#跳转后省略第一个通配
- StripPrefix=1
- 谓词Cookie
咱们在user模块增长一个带cookie的Controller
@Slf4j @RestController public class CookieController { @GetMapping("/welcome") public Boolean handle(HttpServletRequest request, HttpServletResponse response) throws Exception { Cookie cookie = new Cookie("test","value"); cookie.setMaxAge(Integer.MAX_VALUE); response.addCookie(cookie); log.info("welcome"); return true; } }
此时咱们访问该Controller为
此时网关这边配置为
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#只有带上Cookie名为test,而且值符合正则value的cookie时,才容许被转发
- Cookie=test,value
filters:
#跳转后省略第一个通配
- StripPrefix=1
- 谓词Header
如今咱们给user模块添加一个Controller的方法
@GetMapping("/header") public String header(@RequestHeader("item") String item) { return item; }
咱们经过postman给该方法的访问添加请求头
在网关中的配置为
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#只有带上请求头名为item,而且值符合正则123.p,才会转发
- Header=item,123.p
filters:
#跳转后省略第一个通配
- StripPrefix=1
这里正则.能够匹配一个单字符
若是咱们在请求头item中设置错误的字符则没法转发
- 谓词Host
要配置Host,咱们须要给服务器的hosts文件添加一个域名映射,固然在互联网上须要一个域名来作DNS解析。
我这里给本身的域名添加为local.register.com
访问user的find方法
给网关添加配置
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#只有带上请求头Host,且值匹配**.register.com:8040才能经过转发
- Host=**.register.com:8040
filters:
#跳转后省略第一个通配
- StripPrefix=1
此时咱们经过网关访问以下
- 谓词Method
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#只有当HTTP请求方法是GET时才能转发
- Method=GET
filters:
#跳转后省略第一个通配
- StripPrefix=1
- 谓词Query
如今咱们给user模块增长一个Controller方法
@GetMapping("/query") public String query(@RequestParam("name") String name) { return name; }
访问以下
网关配置以下
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#只有当请求带上参数名称为name时才能经过转发
- Query=name
filters:
#跳转后省略第一个通配
- StripPrefix=1
若是不带上该参数则没法转发,如
- 谓词RemoteAddr
spring:
application:
name: gateway
cloud:
gateway:
routes:
- id: gate
uri: http://127.0.0.1:8082
predicates:
#由/user来匹配跳转
- Path=/user/**
#只有当请求为192.168.20.1/24网段(IP地址从192.168.20.1到192.168.20.254)才会转发
- RemoteAddr=192.168.20.1/24
filters:
#跳转后省略第一个通配
- StripPrefix=1
例如
可是使用127.0.0.1却没法访问
如今咱们恢复nacos的服务发现
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
为了跟不作任何配置相区别,咱们这里谓词Path写了user-center
自定义路由谓词工厂
假设如今咱们的一个API只有在上午9点到下午5点容许转发
配置的文件以下
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
- TimeBetween=上午9:00,下午5:00
filters:
#跳转后省略第一个通配
- StripPrefix=1
因为这个TimeBetween并非gateway默认的谓词工厂,因此咱们须要本身来实现一个谓词工厂,咱们先定义一个时间的配置类
@Data public class TimeBetweenConfig { private LocalTime start; private LocalTime end; }
而后自定义一个谓词工厂类,该工厂类名称必须以自定义谓词开头(这里是TimeBetween),以RoutePredicateFactory结尾,并继承AbstractRoutePredicateFactory抽象类
@Component public class TimeBetweenRoutePredicateFactory extends AbstractRoutePredicateFactory<TimeBetweenConfig>{ public TimeBetweenRoutePredicateFactory() { super(TimeBetweenConfig.class); } @Override public Predicate<ServerWebExchange> apply(TimeBetweenConfig config) { LocalTime start = config.getStart(); LocalTime end = config.getEnd(); return exchange -> { LocalTime now = LocalTime.now(); return now.isAfter(start) && now.isBefore(end); }; } @Override public List<String> shortcutFieldOrder() { return Arrays.asList("start","end"); } }
内置过滤器工厂
1 AddRequestHeader GatewayFilter Factory
2 AddRequestParameter GatewayFilter Factory
3 AddResponseHeader GatewayFilter Factory
4 DedupeResponseHeader GatewayFilter Factory
5 Hystrix GatewayFilter Factory
6 FallbackHeaders GatewayFilter Factory
7 PrefixPath GatewayFilter Factory
8 PreserveHostHeader GatewayFilter Factory
9 RequestRateLimiter GatewayFilter Factory
10 RedirectTo GatewayFilter Factory
11 RemoveHopByHopHeadersFilter GatewayFilter Factory
12 RemoveRequestHeader GatewayFilter Factory
13 RemoveResponseHeader GatewayFilter Factory
14 RewritePath GatewayFilter Factory
15 RewriteResponseHeader GatewayFilter Factory
16 SaveSession GatewayFilter Factory
17 SecureHeaders GatewayFilter Factory
18 SetPath GatewayFilter Factory
19 SetResponseHeader GatewayFilter Factory
20 SetStatus GatewayFilter Factory
21 StripPrefix GatewayFilter Factory
22 Retry GatewayFilter Factory
23 RequestSize GatewayFilter Factory
24 Modify Request Body GatewayFilter Factory
25 Modify Response Body GatewayFilter Factory
26 Default Filters
- AddRequestHeader
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 192.168.10.172:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#增长一个名称为X-Request-Foo,值为Bar的请求头
- AddRequestHeader=X-Request-Foo,Bar
这里须要注意的是新增的这个请求头是转发之后添加进去的,因此咱们请求网关的时候在浏览器中是找不到的,咱们可使用command+N(Windows中idea为Ctrl+N)来查找NettyRoutingFilter类,而且在filter方法中设置断点,由如下图中能够看到它是被添加进去了。
- AddRequestParameter
因为在user模块中有这么一个方法
@GetMapping("/query") public String query(@RequestParam("name") String name) { return name; }
因此咱们在网关配置时
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#增长一个名称为name,值为locky的请求参数
- AddRequestParameter=name,locky
因此咱们在网关中请求就能够不写参数,直接访问
- AddResponseHeader
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#增长一个名称为X-Response-Foo,值为Bar的响应头
- AddResponseHeader=X-Response-Foo, Bar
- DedupeResponseHeader
Spring Cloud Greenwich SR2提供的新特性,低于这个版本没法使用。
它的主要做用是去重,例如
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
- Cookie=test,value
filters:
#跳转后省略第一个通配
- StripPrefix=1
#在Http响应报文头中进行去重,去重目标为跨域请求
- DedupeResponseHeader=Access-Control-Allow-Credentials Access-Control-Allow-Origin
- Hystrix
Hystrix是Spring Cloud第一代中的容错组件,不过已经进入维护模式。将来,Hystrix会被Spring Cloud移除掉,取而代之的是Alibaba Sentinel/Resilience4J。
此处不作具体设置了
- FallbackHeaders
也是对Hystrix的支持,不作具体设置了
- PrefixPath
为匹配的路由添加前缀,咱们在user模块的find添加一层访问路径
@GetMapping("/test/find") @SuppressWarnings("unchecked") public Result<User> findStr() { log.info("访问成功"); return Result.success(new User(1,"张三",23)); }
网关配置
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#跳转后添加前缀/test
- PrefixPath=/test
则
与
一致。
- PreserveHostHeader
若是不设置,那么名为 Host 的Header由Http Client控制;若是设置了,那么会设置一个请求属性(preserveHostHeader=true),路由过滤器会检查从而去判断是否要发送原始的、名为Host的Header。这里主要是经过网关是否向代理服务器转发请求头中的Host属性。
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#转发客户端的请求报文头Host给后端代理服务器
- PreserveHostHeader
- RequestRateLimiter
Gateway自带的限流服务,但后续咱们会整合Gateway和Sentinel来进行限流和熔断。
- RedirectTo
转发到后端服务后再重定向到一个url.
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#转发到Path,而且携带一个http://www.baidu.com到Location的响应头
- RedirectTo=302,http://www.baidu.com
从以上图中能够看出,其实咱们请求的是http://127.0.0.1:8040/user-center/find,可是被重定向到了百度。这里HTTP状态码应该是HTTP状态码300序列,例如301.302,具体状态码能够参考HTTP协议整理
- RemoveHopByHopHeadersFilter
移除转发请求的Header,多个用","分隔。默认状况下移除以下Header。
- Connection
- Keep-Alive
- Proxy-Authenticate
- Proxy-Authorization
- TE
- Trailer
- Transfer-Encoding
- Upgrade
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
filter:
#移除转发请求
remove-hop-by-hop:
headers: Keep-Alive,Connection
- RemoveRequestHeader
移除原始请求头
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#移除原始请求头X-Request-Foo
- RemoveRequestHeader=X-Request-Foo
由spring cloud zuul网关的做用 可知,在跨域转发中,咱们须要移除这些请求头
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#移除原始跨域请求头
- RemoveRequestHeader=Access-Control-Allow-Origin
filter:
#移除转发请求
remove-hop-by-hop:
headers: Access-Control-Allow-Credentials,Access-Control-Allow-Origin,Vary,X-Frame-Options,token
- RemoveResponseHeader
移除响应头
咱们在user中添加一个Controller方法
@GetMapping("/addhead") public String addHeader(HttpServletRequest request, HttpServletResponse response) { response.addHeader("X-Response-Foo","Foo"); return "header"; }
网关配置
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#移除响应头X-Response-Foo
- RemoveResponseHeader=X-Response-Foo
经过网关转发,咱们能够看到无此X-Response-Foo的响应头。
- RewritePath
重写请求路径
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#配置成原始路径正则, 重写后的路径的正则
- RewritePath=/user-center/(?<segment>.*), /$\{segment}
以上配置会将/user-center/find变成/find再转发
直接访问user
网关请求的
- RewriteResponseHeader
重写响应头部份内容,根据正则来修改
以前在user中有一个Controller方法
@GetMapping("/addhead") public String addHeader(HttpServletRequest request, HttpServletResponse response) { response.addHeader("X-Response-Foo","Foo"); return "header"; }
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#重写响应头X-Response-Foo的值Foo为dee,内容可根据正则匹配
- RewriteResponseHeader=X-Response-Foo,Foo,dee
访问user的/addhead,X-Response-Foo响应头的值为Foo.
经过网关访问/addhead,X-Response-Foo响应头的值为dee
- SaveSession
在转发到后端微服务请求以前,强制执行 WebSession::save 操做。用在那种像 Spring Session 延迟数据存储(数据不是马上持久化)的,并但愿在请求转发前确保session状态保存状况。
如今咱们对user进行共享Session的配置,添加依赖
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </dependency> <dependency> <groupId>redis.clients</groupId> <artifactId>jedis</artifactId> <version>2.9.0</version> </dependency>
添加配置
spring:
redis:
host: 127.0.0.1
port: 6379
password: xxxxx
timeout: 10000
lettuce:
pool:
min-idle: 0
max-idle: 8
max-active: 8
max-wait: -1
在SpringBoot开启共享Session
@EnableRedisHttpSession @SpringBootApplication public class UserApplication { public static void main(String[] args) { SpringApplication.run(UserApplication.class, args); } }
在user中添加以下Controller
@RestController public class SessionController { @GetMapping("/first") public Map<String,Object> firstResp(HttpServletRequest request, HttpServletResponse response) { Map<String,Object> map = new HashMap<>(); request.getSession().setAttribute("request Url",request.getRequestURL()); map.put("request Url",request.getRequestURL()); return map; } @GetMapping("/sessions") public Object sessions(HttpServletRequest request,HttpServletResponse response) { Map<String,Object> map = new HashMap<>(); map.put("SessionId",request.getSession().getId()); map.put("message",request.getSession().getAttribute("request Url")); return map; } }
咱们启动两个user实例,一个端口号为8082,一个为8083,访问以下
咱们能够看到除了存入Session的RequestURL不一样之外,他们的SessionId是相同的,说明这里是一个共享的Session。
咱们不对网关配置作修改,则咱们经过网关访问
在访问first的时候,它会负载均衡这两个实例,但咱们能够看到他在Session中存储的是内网的IP,而不是127.0.0.1。
在网关作以下配置
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#请求转发前保存Session
- SaveSession
目前未测出有什么太大的做用。反而会破坏Session的数据。因此不建议增长该设置。
- SecureHeaders
添加一系列起安全做用的响应头。
默认会添加以下Header(包括值):
X-Xss-Protection:1; mode=block防XSS攻击设置,0: 表示关闭浏览器的XSS防御机制;1:删除检测到的恶意代码, 若是响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置.1; mode=block:若是检测到恶意代码,在不渲染恶意代码.Strict-Transport-Security:max-age=631138519一个网站接受一个HTTP的请求,而后跳转到HTTPS,用户可能在开始跳转前,经过没有加密的方式和服务器对话,好比,用户输入http://foo.com或者直接foo.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站经过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,浏览器应该自动把全部尝试使用HTTP的请求自动替换为HTTPS请求。X-Frame-Options:DENY点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,而后诱使用户在网页上进行操做,此时用户将在不知情的状况下点击透明的iframe页面。经过调整iframe页面的位置,能够诱使用户刚好点击在iframe页面的一些功能性按钮上。
HTTP响应头信息中的X-Frame-Options,能够指示浏览器是否应该加载一个iframe中的页面。若是服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站能够经过设置X-Frame-Options阻止站点内的页面被其余页面嵌入从而防止点击劫持。
解决方案:
修改web服务器配置,添加X-Frame-Options响应头。赋值有以下三种:
一、DENY:不能被嵌入到任何iframe或者frame中。
二、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中
三、ALLOW-FROM uri:只能被嵌入到指定域名的框架中X-Content-Type-Options:nosniff若是服务器发送响应头 "X-Content-Type-Options: nosniff",则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。
简单理解为:经过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet 在执行是经过MIME 类型来过滤掉不安全的文件
服务器发送含有 "X-Content-Type-Options: nosniff" 标头的响应时,此更改会影响浏览器的行为。
Referrer-Policy:no-referrerreferrer是HTTP请求header的报文头,用于指明当前流量的来源参考页面。经过这个信息,咱们能够知道访客是怎么来到当前页面的。这对于Web Analytics很是重要,能够用于分析不一样渠道流量分布、用户搜索的关键词等。
可是,这个字段同时会形成用户敏感信息泄漏(如:带有敏感信息的重置密码URL,若被Web Analytics收集,则存在密码被重置的危险)。Referrer Policy States
新的Referrer规定了五种策略:
- No Referrer:任何状况下都不发送Referrer信息
- No Referrer When Downgrade:仅当协议降级(如HTTPS页面引入HTTP资源)时不发送Referrer信息。是大部分浏览器默认策略。
- Origin Only:发送只包含host部分的referrer.
- Origin When Cross-origin:仅在发生跨域访问时发送只包含host的Referer,同域下仍是完整的。与Origin Only的区别是多判断了是否Cross-origin。协议、域名和端口都一致,浏览器才认为是同域。
- Unsafe URL:所有都发送Referrer信息。最宽松最不安全的策略。
Content-Security-Policy:default-src 'self' https:; font-src 'self' https: data:; img-src 'self' https: data:; object-src 'none'; script-src https:; style-src 'self' https: 'unsafe-inline'内容安全策略(CSP),其核心思想十分简单:网站经过发送一个 CSP 头部,来告诉浏览器什么是被受权执行的与什么是须要被禁止的。其被誉为专门为解决XSS攻击而生的神器。具体参考http://www.javashuo.com/article/p-rmqcvuwn-ng.htmlX-Download-Options:noopen用于放置直接打开用户下载文件。
X-Download-Options: noopen
- noopen 用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。
X-Permitted-Cross-Domain-Policies:none用于指定当不能将"crossdomain.xml"文件(当须要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件)放置在网站根目录等场合时采起的替代策略。
X-Permitted-Cross-Domain-Policies: master-only
- master-only 只容许使用主策略文件(/crossdomain.xml)
若是你想修改这些Header的值,可以使用以下配置:
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
filter:
secure-headers:
xss-protection-header: 1;mode=block
上面的header对应的后缀:
xss-protection-headerstrict-transport-securityframe-optionscontent-type-optionsreferrer-policycontent-security-policydownload-optionspermitted-cross-domain-policies
若是想禁用某些Header,可以使用以下配置:spring.cloud.gateway.filter.secure-headers.disable ,多个用 , 分隔。例如:
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
filter:
secure-headers:
disable: frame-options,download-options
- SetPath
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/{segment}
filters:
#使用/{segment}来代替/user-center/{segment}后转发
- SetPath=/{segment}
用意跟以前差很少。
- SetResponseHeader
在User项目中有这样一个Controller方法
@GetMapping("/addhead") public String addHeader(HttpServletRequest request, HttpServletResponse response) { response.addHeader("X-Response-Foo","Foo"); return "header"; }
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#将响应头X-Response-Foo的值更改成dee
- SetResponseHeader=X-Response-Foo,dee
- SetStatus
修改响应的状态码,值能够是数字,也能够是字符串。但必定要是Spring HttpStatus 枚举类中的值。
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#修改返回状态码为401
- SetStatus=401
这里是能够正常返回结果的,只不过状态码被修改成401
- StripPrefix
数字表示要截断的路径的数量。
- Retry
针对不一样的响应作重试,可配置以下参数:
retries: 重试次数statuses: 须要重试的状态码,取值在org.springframework.http.HttpStatus中methods: 须要重试的请求方法,取值在org.springframework.http.HttpMethod中series: HTTP状态码系列,取值在org.springframework.http.HttpStatus.Series中
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#若是方法未找到,重试3次
- name: Retry
args:
retries: 3
statuses: NOT_FOUND
- RequestSize
为后端服务设置收到的最大请求包大小。若是请求大小超过设置的值,则返回 413 Payload Too Large 。默认值是5M
不过这里我设置了1字节,好像不起做用。
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#若是请求包超过1字节,返回413
- name: RequestSize
args:
maxSize: 1
经测试无效
- Modify Request Body
可用于在Gateway将请求发送给后端微服务以前,修改请求体内容。该过滤器工厂目前处于BETA状态,不建议使用。
- Modify Response Body
可用于修改响应体内容。该过滤器工厂目前处于BETA状态,不建议使用。
- Default
若是你想为全部路由添加过滤器,可以使用该属性。
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
#该配置对全部的routes.id均有效
default-filters:
#跳转后省略第一个通配
- StripPrefix=1
自定义过滤器工厂
- 过滤器生命周期
- pre: Gateway转发请求以前
- post: Gateway转发请求以后
- 自定义过滤器工厂的方式
- 继承: AbstractGatewayFilterFactory
- 继承: AbstractNameValueGatewayFilterFactory
- 核心API
- exchange.getRequest().mutate().xxx //修改request
- exchange.mutate().xxx //修改exchange
- chain.filter(exchange) //传递给下一个过滤器处理
- exchange.getResponse //拿到响应
- 编写一个过滤器工厂
如今咱们来写一个打印日志的过滤器工厂,该自定义过滤器工厂必须以GatewayFilterFactory结尾
@Slf4j @Component public class PreLogGatewayFilterFactory extends AbstractNameValueGatewayFilterFactory { @Override public GatewayFilter apply(NameValueConfig config) { return (((exchange, chain) -> { log.info("请求进来了...{},{}",config.getName(),config.getValue()); //获取请求 ServerHttpRequest modifiedRequest = exchange.getRequest() .mutate() .build(); //获取exchange ServerWebExchange modifiedExchange = exchange.mutate() .request(modifiedRequest) .build(); //传递给下一个过滤器 return chain.filter(modifiedExchange); })); } }
配置文件
spring:
application:
name: gateway
cloud:
nacos:
discovery:
server-addr: 127.0.0.1:8848
gateway:
routes:
- id: gate
uri: lb://user
predicates:
#由/user-center来匹配跳转
- Path=/user-center/**
filters:
#跳转后省略第一个通配
- StripPrefix=1
#打印a,b日志
- PreLog=a,b
运行后,咱们经过网关访问API后,打印日志以下
2019-12-20 14:09:48.066 INFO 2702 --- [ctor-http-nio-2] c.c.c.m.g.c.PreLogGatewayFilterFactory : 请求进来了...a,b
全局过滤器
1 Combined Global Filter and GatewayFilter Ordering
2 Forward Routing Filter
3 LoadBalancerClient Filter
4 Netty Routing Filter
5 Netty Write Response Filter
6 RouteToRequestUrl Filter
7 Websocket Routing Filter
8 Gateway Metrics Filter
9 Marking An Exchange As Routed
- Global Filter and GatewayFilter Ordering
当请求到来时,Filtering Web Handler 处理器会添加全部 GlobalFilter 实例和匹配的 GatewayFilter 实例到过滤器链中。
过滤器链会使用 org.springframework.core.Ordered 注解所指定的顺序,进行排序。Spring Cloud Gateway区分了过滤器逻辑执行的”pre”和”post”阶段,因此优先级高的过滤器将会在pre阶段最早执行,优先级最低的过滤器则在post阶段最后执行。数值越小越靠前执行。
@Slf4j @Configuration public class GlobleFilters { @Bean @Order(-1) public GlobalFilter a() { return ((exchange, chain) -> { log.info("first pre filter"); return chain.filter(exchange).then(Mono.fromRunnable( () -> log.info("third post filter"))); }); } @Bean @Order(0) public GlobalFilter b() { return ((exchange, chain) -> { log.info("second pre filter"); return chain.filter(exchange).then(Mono.fromRunnable( () -> log.info("second post filter"))); }); } @Bean @Order(1) public GlobalFilter c() { return ((exchange, chain) -> { log.info("third pre filter"); return chain.filter(exchange).then(Mono.fromRunnable( () -> log.info("first post filter"))); }); } }
当有网关转发请求时
2019-12-20 15:03:34.263 INFO 3380 --- [ctor-http-nio-2] c.c.c.m.gateway.config.GlobleFilters : first pre filter
2019-12-20 15:03:34.263 INFO 3380 --- [ctor-http-nio-2] c.c.c.m.gateway.config.GlobleFilters : second pre filter
2019-12-20 15:03:34.263 INFO 3380 --- [ctor-http-nio-2] c.c.c.m.gateway.config.GlobleFilters : third pre filter
2019-12-20 15:03:34.302 INFO 3380 --- [ctor-http-nio-7] c.c.c.m.gateway.config.GlobleFilters : first post filter
2019-12-20 15:03:34.302 INFO 3380 --- [ctor-http-nio-7] c.c.c.m.gateway.config.GlobleFilters : second post filter
2019-12-20 15:03:34.302 INFO 3380 --- [ctor-http-nio-7] c.c.c.m.gateway.config.GlobleFilters : third post filter
- Forward Routing Filter
整合Sentinel限流
Sentinel的版本必须在1.6及以上,咱们这里为1.7
pom
<dependency> <groupId>com.alibaba.csp</groupId> <artifactId>sentinel-spring-cloud-gateway-adapter</artifactId> </dependency>
添加配置类
@Configuration public class GatewayConfig { private final List<ViewResolver> viewResolvers; private final ServerCodecConfigurer serverCodecConfigurer; public GatewayConfig(ObjectProvider<List<ViewResolver>> viewResolverProvider, ServerCodecConfigurer serverCodecConfigurer) { this.viewResolvers = viewResolverProvider.getIfAvailable(Collections::emptyList); this.serverCodecConfigurer = serverCodecConfigurer; } @Bean @Order(Ordered.HIGHEST_PRECEDENCE) public SentinelGatewayBlockExceptionHandler sentinelGatewayBlockExceptionHandler() { return new SentinelGatewayBlockExceptionHandler(viewResolvers,serverCodecConfigurer); } @Bean @Order(Ordered.HIGHEST_PRECEDENCE) public GlobalFilter sentinelGatewayFilter() { return new SentinelGatewayFilter(); } @PostConstruct public void doInit() { initGatewayRules(); } /** * 配置限流规则 */ private void initGatewayRules() { Set<GatewayFlowRule> rules = new HashSet<>(); rules.add(new GatewayFlowRule("gate") .setCount(1) //限流阈值 .setIntervalSec(1)); //统计时间窗口,单位是秒,默认是1秒 GatewayRuleManager.loadRules(rules); } }
咱们这里设置的为1秒钟只能经过一个请求。
若是咱们在1秒钟内请求两次或以上,就会产生限流提示。
- 1. Spring Cloud教程 第一弹 第二代网关spring cloud gateway
- 2. 使用springcloud gateway搭建网关(分流,限流,熔断)
- 3. 使用jhipster建立网关gateway(二)
- 4. 使用jhipster创建网关gateway(二)
- 5. 第二代微服务网关组件 - Spring Cloud Gateway
- 6. Gateway新一代网关
- 7. Spring-Cloud-Gateway搭建过程
- 8. Ocelot 网关搭建(二)
- 9. springboot搭建流程(二)
- 10. [flowable]网关gateway
- 更多相关文章...
- • Swift 环境搭建 - Swift 教程
- • Rust 环境搭建 - RUST 教程
- • NewSQL-TiDB相关
- • 适用于PHP初学者的学习线路和建议
-
每一个你不满意的现在,都有一个你没有努力的曾经。