【GateWay】和权限验证

【GateWay】网关详解和权限验证

• [一、Gateway 核心概念与架构](#一、Gateway 核心概念与架构)
• [二、路由断言（Route Predicates）详解](#二、路由断言（Route Predicates）详解)
• 三、过滤器（Filters）机制
• 四、权限认证的核心理论模型
• [五、Spring Cloud Gateway + Security + OAuth2 集成方案](#五、Spring Cloud Gateway + Security + OAuth2 集成方案)
• [六、OAuth2.0 集成](#六、OAuth2.0 集成)

一、Gateway 核心概念与架构

Spring Cloud Gateway 是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 构建的响应式 API 网关，核心功能包括：

• 路由转发：根据请求条件将请求转发到不同微服务
• 请求过滤：在请求或响应处理过程中添加自定义逻辑
• 动态路由：结合服务注册中心实现路由配置动态更新
• 流量控制：支持限流、熔断等服务保护机制

其架构基于 Reactor 响应式编程模型，采用非阻塞 IO，相比传统阻塞式网关（如 Zuul 1.x）具有更高的并发处理能力。

二、路由断言（Route Predicates）详解

1. 路由断言的本质

路由断言是 Gateway 用于匹配请求的条件表达式，通过一组预定义的谓词（Predicate）判断请求是否符合路由规则。

每个路由至少包含一个断言，当请求满足所有断言时，才会被转发到目标服务。

2. 常用路由断言谓词

断言类型	作用描述	配置示例
Path	匹配请求路径模式	Path=/user-service/**
Method	匹配 HTTP 请求方法（GET、POST 等）	Method=GET
Header	匹配请求头中的参数	Header=X-Request-Id, \d+
Query	匹配请求参数	Query=name, Jack
Cookie	匹配请求 Cookie	Cookie=JSESSIONID, [a-z0-9]+
Host	匹配请求 Host 头	Host=**.example.com
RemoteAddr	匹配客户端	IP 地址 RemoteAddr=192.168.1.1/24
TimeBetween	匹配请求时间范围	TimeBetween=8:00-18:00
Weight	权重路由（配合负载均衡）	Weight=group1, 80

3. 断言组合与优先级

• 组合方式：多个断言通过 AND 逻辑组合（需同时满足），例如：
• 优先级：路由配置的顺序决定断言匹配优先级，先匹配的路由优先处理

- Path=/api/user/** AND Method=GET

4. 自定义断言

若需扩展断言逻辑，可实现 GatewayPredicateFactory 接口，例如：

public class CustomPredicateFactory extends AbstractGatewayPredicateFactory<CustomPredicateFactory.Config> {
    public CustomPredicateFactory() {
        super(Config.class);
    }
    
    @Override
    public GatewayPredicate apply(Config config) {
        return (exchange, chain) -> {
            // 自定义断言逻辑（如请求参数校验、用户身份验证等）
            return chain.filter(exchange);
        };
    }
    
    public static class Config {
        // 断言配置参数
    }
}

三、过滤器（Filters）机制

1. 过滤器分类

Gateway 过滤器分为两类：

• 内置过滤器：Gateway 自带的功能过滤器，覆盖常见需求
• 自定义过滤器：用户根据业务需求自定义的过滤器

2. 核心内置过滤器

过滤器类型	作用描述	配置示例
RewritePath	重写请求路径	RewritePath=/api/(?.*), /${segment}
Retry	请求重试机制	Retry=3, BAD_GATEWAY, 1000
Hystrix	集成 Hystrix 熔断	Hystrix=myCommand
RequestRateLimiter	请求限流（基于 Redis）	RequestRateLimiter=10, 20, 100
CircuitBreaker 熔断处理	（支持 Sentinel 等）	CircuitBreaker=mybreaker
ResponseHeader	修改响应头	ResponseHeader=X-Result, Success
RequestHeader	修改请求头	RequestHeader=X-User, ${user}

3. 过滤器执行流程

• Pre 过滤器：在请求转发到目标服务前执行（如权限验证、参数校验）
• Post 过滤器：在目标服务响应后执行（如结果转换、响应头添加）
• 执行顺序：过滤器按配置顺序执行，可通过 order() 方法指定优先级

4. 自定义过滤器实现

@Component
public class AuthFilter implements GlobalFilter, Ordered {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 1. 从请求中获取令牌
        String token = exchange.getRequest().getHeaders().getFirst("Authorization");
        
        // 2. 令牌验证逻辑
        if (token == null || !validateToken(token)) {
            ServerHttpResponse response = exchange.getResponse();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        
        // 3. 验证通过，放行请求
        return chain.filter(exchange);
    }
    
    @Override
    public int getOrder() {
        return 0; // 过滤器优先级，数值越小优先级越高
    }
    
    private boolean validateToken(String token) {
        // 令牌验证逻辑（可对接 OAuth2、JWT 等）
        return true;
    }
}

四、权限认证的核心理论模型

在微服务架构中，权限认证遵循 "认证（Authentication）+ 授权（Authorization）" 分离的原则：

1. 认证（Authentication）
   验证用户身份的合法性，常见方式：

• 用户名 / 密码
• Token（如 JWT、OAuth2 Access Token）
• 生物特征（指纹、人脸等）

2. 授权（Authorization）
   验证用户是否有权限访问特定资源，基于：

• 角色（Role）：如 ADMIN、USER
• 权限（Permission）：如 USER_CREATE、ORDER_VIEW
• 属性（Attribute）：如用户部门、地域

3. OAuth2.0 协议模型

• 资源所有者（Resource Owner）：用户
• 客户端（Client）：前端应用或第三方服务
• 授权服务器（Authorization Server）：颁发令牌
• 资源服务器（Resource Server）：保护受保护资源

4. JWT 令牌结构
   JWT 由三部分组成：

Header.Payload.Signature

头部 . 有效载荷 . 签名

• Header：包含令牌类型和签名算法
• Payload：包含声明（Claims），如用户 ID、角色、过期时间
• Signature：使用密钥对 Header 和 Payload 签名生成

五、Spring Cloud Gateway + Security + OAuth2 集成方案

┌─────────────────────────────────────────────────────────┐
│                    客户端请求                             │
└───────────────────────┬─────────────────────────────────┘
                        │
                        ▼
┌─────────────────────────────────────────────────────────┐
│                 Spring Cloud Gateway                     │
│  ┌─────────────────────────────────────────────────────┐│
│  │                   Security 过滤器链                   ││
│  │  ┌───────────┐  ┌───────────┐  ┌──────────────────┐ ││
│  │  │ 认证过滤器 │→│ 授权过滤器 │→│ OAuth2资源服务器过滤器 │ │
│  │  └───────────┘  └───────────┘  └──────────────────┘ ││
│  └─────────────────────────────────────────────────────┘│
└───────────────────────┬─────────────────────────────────┘
                        │
                        ▼
┌─────────────────────────────────────────────────────────┐
│                 下游微服务集群                             │
└─────────────────────────────────────────────────────────┘

六、OAuth2.0 集成

1. OAuth2 授权模式选择

模式	适用场景	安全性
授权码模式 (Authorization Code)	服务端应用（如 Web 应用）	最高
简化模式 (Implicit)	前端应用（如 SPA）	中等
密码模式 (Resource Owner Password Credentials)	受信任的第一方应用	中等
客户端模式 (Client Credentials)	服务间调用	高

2. 资源服务器配置

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://auth-server:8080  # 授权服务器URL
          jwk-set-uri: http://auth-server:8080/oauth2/jwks  # JWK集合URL

3. 令牌自省（Token Introspection）

当使用 opaque token（非 JWT）时，需配置令牌自省端点：

spring:
  security:
    oauth2:
      resourceserver:
        introspection-uri: http://auth-server:8080/oauth2/introspect  # 自省端点
        client-id: resource-server  # 资源服务器ID
        client-secret: secret  # 资源服务器密钥