授权规则可以对调用方的来源做控制,有白名单和黑名单两种方式。
1.白名单:来源(origin)在白名单内的调用者允许访问
2.黑名单:来源(origin)在黑名单内的调用者不允许访问
例如,我们限定只允许从网关来的请求访问order-service,那么流控应用中就填写网关的名称
Sentinel是通过RequestOriginParser这个接口的parseOrigin来获取请求的来源的。
public interface RequestOriginParser { /** * 从请求request对象中获取origin,获取方式自定义 */ String parseOrigin(HttpServletRequest request); }
例如,在order-service服务中我们尝试从request中获取一个名为origin的请求头,作为origin的值:
@Component public class HeaderOriginParser implements RequestOriginParser { @Override public String parseOrigin(HttpServletRequest request) { // 1.获取请求头
String origin = request.getHeader("origin"); // 2.非空判断
if (StringUtils.isEmpty(origin)) { origin = "blank"; } return origin; } }
我们还需要在gateway服务中,利用网关的过滤器添加名为gateway的origin头:
spring: application: name: gateway cloud: gateway: default-filters: - AddRequestHeader=Truth,Itcast is freaking awesome!
- AddRequestHeader=origin,gateway
给/order/{orderId} 配置授权规则:
效果实例
http://localhost:8088/order/103 ##服务直接访问拒绝
{"msg": 没有权限访问, "status": 401} http://localhost:10010/order/103 ##网关访问直接通过
{"id":103,"price":43900,"name":"骆驼(CAMEL)休闲运动鞋女","num":1,"userId":3,"user":{"id":null,"username":null,"address":null}}