大家好,今天我想和大家分享一个在Spring Cloud Gateway中实现全局认证过滤器的详细教程。这个过滤器的主要功能是拦截所有请求,验证请求头中的JWT令牌,如果令牌无效,则直接拦截请求并返回401状态码。下面让我们深入代码,逐步解析其每一部分的功能。
package com.hmall.gateway.filter;
import com.hmall.common.exception.UnauthorizedException;
import com.hmall.common.utils.CollUtils;
import com.hmall.gateway.config.AuthProperties;
import com.hmall.gateway.util.JwtTool;
import lombok.RequiredArgsConstructor;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;
import java.util.List;
@Component
@RequiredArgsConstructor
@EnableConfigurationProperties(AuthProperties.class)
public class AuthGlobalFilter implements GlobalFilter, Ordered {
private final JwtTool jwtTool;
private final AuthProperties authProperties;
private final AntPathMatcher antPathMatcher = new AntPathMatcher();
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
// 1. 获取Request
ServerHttpRequest request = exchange.getRequest();
// 2. 判断是否不需要拦截
if (isExclude(request.getPath().toString())) {
// 无需拦截,直接放行
return chain.filter(exchange);
}
// 3. 获取请求头中的token
String token = null;
List<String> headers = request.getHeaders().get("authorization");
if (!CollUtils.isEmpty(headers)) {
token = headers.get(0);
}
// 4. 校验并解析token
Long userId = null;
try {
userId = jwtTool.parseToken(token);
} catch (UnauthorizedException e) {
// 如果无效,拦截
ServerHttpResponse response = exchange.getResponse();
response.setRawStatusCode(401);
return response.setComplete();
}
// TODO 5. 如果有效,传递用户信息
System.out.println("userId = " + userId);
// 6. 放行
return chain.filter(exchange);
}
private boolean isExclude(String antPath) {
for (String pathPattern : authProperties.getExcludePaths()) {
if (antPathMatcher.match(pathPattern, antPath)) {
return true;
}
}
return false;
}
@Override
public int getOrder() {
return 0;
}
}
1. 获取Request对象
在filter方法的第一步,我们从ServerWebExchange中获取ServerHttpRequest对象。这个对象包含了当前请求的所有信息,例如请求路径、请求头、查询参数等。
ServerHttpRequest request = exchange.getRequest();
2. 判断是否不需要拦截
通过isExclude方法来判断当前请求的路径是否在白名单中。如果在白名单中,则直接放行,不需要进行后续的验证。这里使用了AntPathMatcher来匹配路径。
if (isExclude(request.getPath().toString())) {
return chain.filter(exchange);
}
isExclude方法具体实现如下:
private boolean isExclude(String antPath) {
for (String pathPattern : authProperties.getExcludePaths()) {
if (antPathMatcher.match(pathPattern, antPath)) {
return true;
}
}
return false;
}
3. 获取请求头中的token
从请求头中获取authorization字段,通常JWT令牌就是通过这个字段传递的。如果请求头中不存在这个字段,则token为null。
String token = null;
List<String> headers = request.getHeaders().get("authorization");
if (!CollUtils.isEmpty(headers)) {
token = headers.get(0);
}
4. 校验并解析token
使用jwtTool来解析令牌。如果令牌无效,会抛出UnauthorizedException异常,我们在捕获这个异常后,设置响应的状态码为401,表示未授权。
Long userId = null;
try {
userId = jwtTool.parseToken(token);
} catch (UnauthorizedException e) {
ServerHttpResponse response = exchange.getResponse();
response.setRawStatusCode(401);
return response.setComplete();
}
5. 传递用户信息
如果令牌有效,可以将解析出的用户信息传递给后续的处理逻辑。目前代码中只是打印了userId,实际应用中可以将用户信息存入ServerWebExchange的属性中,供后续使用。
System.out.println("userId = " + userId);
6. 放行
如果令牌有效,最终调用chain.filter方法,将请求传递给下一个过滤器或最终的处理逻辑。
return chain.filter(exchange);
过滤器的优先级
通过实现Ordered接口并覆盖getOrder方法来设置过滤器的优先级,值越小优先级越高。
@Override
public int getOrder() {
return 0;
}
总结
这个全局过滤器在网关层面实现了JWT令牌的验证,确保只有有效的请求才能进入后续的服务。通过这种方式,我们可以在微服务架构中统一管理和验证用户身份,提高系统的安全性和可靠性。
主要功能点回顾:
- 获取请求信息:从
ServerWebExchange中获取当前请求的详细信息。 - 路径白名单校验:判断请求路径是否在白名单中,如果在则直接放行。
- 提取并校验JWT令牌:从请求头中提取JWT令牌,并进行校验和解析。
- 用户信息传递:如果令牌有效,可以将用户信息传递给后续处理逻辑。
- 统一异常处理:如果令牌无效,直接返回401状态码,表示未授权。