Sentinel之授权规则与规则持久化

news2024/12/26 0:03:28

一、上集回顾

上级文章地址:【SpringCloud】Sentinel 之隔离与降级_面向架构编程的博客-CSDN博客

我们先来回顾一下Sentinel控制台上面的功能:

所以,本章节就来研究 "授权规则"这一功能模块。

二、授权规则

授权规则可以对请求方来源做判断和控制。(请求者的身份)

基本规则

授权规则可以对调用方的来源做控制,有白名单和黑名单两种方式。

  • 白名单:来源(origin)在白名单内的调用者允许访问

  • 黑名单:来源(origin)在黑名单内的调用者不允许访问

点击左侧菜单的"授权规则",右上角有一个"新增授权规则"的button:

  • 资源名:就是受保护的资源,例如/order/{orderId}

  • 流控应用:来源者的名单

  • 如果是勾选白名单,则名单中的来源被可访问。

  • 如果是勾选黑名单,则名单中的来源被禁止访问。

也就是说,如果选择了"白名单",只有 指定的流控应用可以访问,其它都不行!!!

【问】有了Gateway做身份认证,为啥还要Sentinel授权规则呢???

假设项目的源代码泄露,那么网关有可能被绕过!然后直接访问微服务。这样子我们之前在网关中做的安全校验都将会失效。

所以,这个时候我们就需要Sentinel授权规则!它可以帮我们判断"请求是从哪里来的?"

我们允许请求从gateway到order-service,不允许浏览器访问order-service,那么白名单中就要填写网关的来源名称(origin)

1.获取origin

Sentinel是通过RequestOriginParser接口parseOrigin来获取请求的来源的

// 请求来源解析器
public interface RequestOriginParser {
    /**
     * 从请求request对象中获取origin,获取方式自定义
     */
    String parseOrigin(HttpServletRequest request);
}

这个方法的作用就是从request对象中,获取请求者的origin值并返回。

但是,可惜的是,默认情况下,sentinel不管请求者从哪里来,返回值永远是default,也就是说一切请求的来源都被认为是一样的值default

因此,我们需要自定义这个接口的实现!!!让不同的请求,返回不同的origin

代码实现

order-service服务中,新建一个包sentienl,我们定义一个RequestOriginParser的实现类

@Component
public class HeaderOriginParser implements RequestOriginParser {
    @Override
    public String parseOrigin(HttpServletRequest request) {
        // 1.获取请求头
        String origin = request.getHeader("origin");
        // 2.非空判断
        if (StringUtils.isEmpty(origin)) {
            origin = "blank";
        }
        return origin;
    }
}

这里我们写了一个判断请求头是否为空的Demo。

2.给网关添加请求头

既然获取请求origin的方式是从reques-header中获取origin值,我们必须让所有从gateway路由到微服务的请求都带上origin头

我们可以用GatewayFilter来实现

修改gateway服务中的application.yml,添加一个defaultFilter:

spring:
  application:
    name: gateway
  cloud:
    nacos:
      server-addr: localhost:8848  # nacos 地址
    gateway:
      routes:
        ......
      default-filters:  # 默认过滤器 对所有的路由都生效
        - AddRequestHeader=origin,gateway

      routes:
        ...... 

给网关添加过滤器,名为origin,值为gateway

这样,从gateway路由的所有请求都会带上origin头,值为gateway。而从其它地方(比如:浏览器)到达微服务的请求则没有这个头。

3.配置授权规则

添加一个授权规则,放行origin值为gateway的请求

4.测试

现在,我们直接跳过网关,访问order-service服务,即直接访问order-service服务的端口号

通过网关访问(10010)

但是请注意一点,/user/{userId}并不会受到上述的限制!

二、自定义异常结果

默认情况下,发生限流、降级、授权拦截时,都会抛出异常到调用方。异常结果都是flow limmiting(限流)。这样不够友好,无法得知是限流还是降级还是授权拦截。

异常类型

而如果要自定义异常时的返回结果,需要实现BlockExceptionHandler接口:

public interface BlockExceptionHandler {
    /**
     * 处理请求被限流、降级、授权拦截时抛出的异常:BlockException
     */
    void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception;
}

这个方法有三个参数:

  • HttpServletRequest request:request对象

  • HttpServletResponse response:response对象

  • BlockException e:被sentinel拦截时抛出的异常

这里的BlockException包含多个不同的子类:

异常

说明

FlowException

限流异常

ParamFlowException

热点参数限流的异常

DegradeException

降级异常

AuthorityException

授权规则异常

SystemBlockException

系统规则异常

自定义异常处理

在order-service定义一个自定义异常处理类

@Component
public class SentinelExceptionHandler implements BlockExceptionHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, BlockException e) throws Exception {
        String msg = "未知异常";
        int status = 429;

        if (e instanceof FlowException) {
            msg = "请求被限流了";
        } else if (e instanceof ParamFlowException) {
            msg = "请求被热点参数限流";
        } else if (e instanceof DegradeException) {
            msg = "请求被降级了";
        } else if (e instanceof AuthorityException) {
            msg = "没有权限访问";
            status = 401;
        }

        response.setContentType("application/json;charset=utf-8");
        response.setStatus(status);
        response.getWriter().println("{\"msg\": " + msg + ", \"status\": " + status + "}");
    }
}

重启测试,在不同场景下,会返回不同的异常消息!!!

三、规则持久化

现在,sentinel的所有规则都是内存存储,重启后所有规则都会丢失。在生产环境下,我们必须确保这些规则的持久化,避免丢失。

规则管理模式

规则是否能持久化,取决于规则管理模式,sentinel支持三种规则管理模式:

  • 原始模式:Sentinel的默认模式,将规则保存在内存,重启服务会丢失。

  • pull模式

  • push模式

pull模式

pull模式:控制台将配置的规则推送到Sentinel客户端,而客户端会将配置规则保存在本地文件或数据库中。以后会定时去本地文件或数据库中查询,更新本地规则。

push模式

push模式:控制台将配置规则推送到远程配置中心,例如Nacos。Sentinel客户端监听Nacos,获取配置变更的推送消息,完成本地配置更新。

实现push模式

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/197168.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

XV6实验(2020)

XV6实验记录(2020) 环境搭建 参考连接 Lab guidance (mit.edu) 6.S081 / Fall 2020 (mit.edu) xv6 book中文版 Lab1:Xv6 and Unix utilities 实现几个unix实用工具,熟悉xv6的开发环境以及系统调用 Boot xv6 就是准备环境,克隆仓库,编…

代码随想录算法训练营第五十三天|● 1143.最长公共子序列 ● 1035.不相交的线 ● 53. 最大子序和 动态规划

一、1143.最长公共子序列 题目: 给定两个字符串 text1 和 text2,返回这两个字符串的最长公共子序列的长度。 一个字符串的 子序列 是指这样一个新的字符串:它是由原字符串在不改变字符的相对顺序的情况下删除某些字符(也可以不…

Android 自定义控件

文章目录Canvas 画布类 画布背景 点 线 矩形 椭圆 圆 弧形 路径 字符 对画布裁剪及变形Paint 画笔类 常用方法 图形线条相关 字符相关 Path设置样式如果是一个自定义控件,则需要派生自 Vie…

【Vue】模板语法——内置指令

指令(Directives)是 vue 为开发者提供的模板语法,用于辅助开发者渲染页面的基本结构。vue 中的指令按照不同的用途可以分为如下几大类:① 内容渲染指令:v-text、v-html② 属性绑定指令:v-bind③ 事件绑定指…

<Java EE 进阶> 3.Spring简单的读和取

目录 1.存储Bean对象 (1)准备工作:配置扫描路径 (2)添加注解存储Bean对象 ① 类注解 ② 方法注解Bean 在String中更简单的存储和读取对象的核心是使用注解 1.存储Bean对象 (1)准备工作&am…

Linux内核的安装与加载

目录 一、tftp加载Linux内核和roootfs 二、 EMMC加载Linux内核和rootfs 三、tftp加载Linux内核nfs挂在根文件系统 四、EMMC加载uboot 一、tftp加载Linux内核和roootfs 这个就是Linux内核,它很轻量级只有2.949MB所以在嵌入式领域很受欢迎。 上面那个就是设备树文…

初识 Python 科学计算库之 NumPy(创建多维数组对象)

文章目录参考描述NumPy特点获取导入多维数组对象np.array()np.asarray()范围随机概览np.random.randn()np.random.normal()np.random.choice()np.random.random()np.random.randint()np.random.shuffle()np.random.seed()数列等差数列等比数列填充np.zeros()np.zeros_like()np.…

Spotify Q4用户增长再超预期,但为何还是赚不到钱?

2022年,美联储接连7次暴力加息,科技行业整体低迷,从Meta、Google再到亚马逊,大型科技公司接连宣告裁员过冬。 寒气已经传递到了更广阔的地方。1月下旬,瑞典音乐流媒体巨头Spotify宣布将裁员6%。 音乐流媒体的生意变得…

Python自动化测试实战篇(1)读取xlsx中账户密码,unittest框架实现通过requests接口post登录网站请求,JSON判断登录是否成功

Python接口项目实战篇(1)读取xlsx中账户密码,unittest框架实现通过requests接口post登录网站请求,JSON判断登录是否成功实现功能描述1.首先获取到接口谷歌浏览器中获取接口信息fiddler里面抓取接口信息2.创建一个xlsx文档3.导入我…

【C++】继承详解

目录继承的概念及定义继承的概念继承的定义定义格式继承关系和访问限定符继承基类成员访问方式的变化基类和派生类对象的赋值转换继承中的作用域派生类的默认成员函数继承和友元继承与静态成员复杂的菱形继承及菱形的虚拟继承菱形继承的概念虚拟继承**虚拟继承的原理**&#xf…

IT6512可编程直流电源的工作原理

现在各种的电子设备不断的发展,它们对直流供电的电源也有了更高的要求,相对于电子设备来说,用单一的直流电源是没有办法达到供电的要求,所以需要不同的直流电源来给电子设备供电。可编程直流电源就是这一种。在生产测试中&#xf…

Pandas的apply, map, transform介绍和性能测试

apply函数是我们经常用到的一个Pandas操作。虽然这在较小的数据集上不是问题,但在处理大量数据时,由此引起的性能问题会变得更加明显。虽然apply的灵活性使其成为一个简单的选择,但本文介绍了其他Pandas函数作为潜在的替代方案。 在这篇文章…

软测(基础)· 软件测试的生命周期 · 如何描述一个 Bug · Bug 的级别 · Bug 的生命周期 · 争执 · Bug 评审

一、软件测试的生命周期软件测试的生命周期 & 软件开发的生命周期二、如何描述一个 Bug三、如何定义 Bug 的级别四、Bug 的生命周期五、发生争执了怎么办?Bug 评审一、软件测试的生命周期 软件测试的生命周期:需求分析 → 测试计划 → 测试设计、测…

《巫师3:狂猎》4.01版更新 PC端已上线

去年12月,《巫师3》免费升级次世代版,加入DLSS 3支持,RTX 40系显卡的用户能直接提升体验感,RTX 30系用户能通过DLSS 2获得更稳定的帧数。 目前。《巫师3:狂猎》4.01版已更新上线,在PC、PlayStation 和 Xbo…

【配电网规划】配电网N-1扩展规划研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

OJ万题详解––[NOIP2010 提高组] 机器翻译(C++详解)

题目背景 小晨的电脑上安装了一个机器翻译软件,他经常用这个软件来翻译英语文章。 题目描述 这个翻译软件的原理很简单,它只是从头到尾,依次将每个英文单词用对应的中文含义来替换。对于每个英文单词,软件会先在内存中查找这个单词…

openstack cinder对接两个ceph后端配置

需求 需要做卷迁移的工作,从一个ceph集群迁移到另一个集群,因此需要配置两个ceph后端。由此开展后续工作,将配置过程及出现的问题做一记录。 另外两套ceph后端的访问用户都是cinder用户,网上找的资料均为两个用户,当为…

电子技术——BJT的物理结构

电子技术——BJT的物理结构 本节我们介绍另一种基本三端元件,BJT。 物理结构 下图展示了NPN型和PNP型BJT的物理结构简图。 从图中看出,BJT主要由三个区域组成,发射极(n类型),基极(p类型&#…

如何跑起一个Python Flask 项目

最近做项目迁移,从Google cloud 迁移到 AWS项目:Python Flask ORM是Alembic(我不是搞python的 这边看到这个了)python 是docker 跑起来的,一个docker-compose up就完事但我要进行数据库迁移测试,所以本地要跑起来我是mac先安装pyt…

财报解读:大裁员后Meta的元宇宙还有新故事吗?

美股科技巨头Facebook自更名为Meta Platforms后全面发力元宇宙,作为美国第一大社交平台以及全球流量池,转型后的Meta一度被市场寄予厚望,但同样受累于其元宇宙策略,年初至今,Meta的股价累计一度下跌近65%,也…