微服务网关

一、Gateway服务网关

        Spring Cloud Gateway 是 Spring Cloud 的一个全新项目，该项目是基于 Spring 5.0，SpringBoot 2.0 和 Project Reactor 等响应式编程和事件流技术开发的网关，它旨在为微服务架构提供一种简单有效的统一的 API路由管理方式。

1、为什么需要网关

        Gateway网关是我们服务的守门神，所有微服务的统一入口。

        网关的核心功能特性： 请求路由、权限控制、限流。

        架构图：

        权限控制：网关作为微服务入口，需要校验用户是否有请求资格，如果没有则进行拦截。

        路由和负载均衡：一切请求都必须先经过gateway，但网关不处理业务，而是根据某种规则，把请求转发到某个微服务，这个过程叫做路由。当然路由的目标服务有多个时，还需要做负载均衡。

        限流：当请求流量过高时，在网关中按照下流的微服务能够接受的速度来放行请求，避免服务压力过大。

        在SpringCloud中网关的实现包括两种： gateway、zuul。

        Zuul是基于Servlet的实现，属于阻塞式编程。而SpringCloudGateway则是基于Spring5中提供的WebFlux，属于响应式编程的实现，具备更好的性能。

2、gateway实例代码

        项目架构大体为：

（1）引入依赖

        首先先创建服务，创建一个api-gateway的模块，导入相关的依赖：

    <parent><artifactId>springcloud-alibaba</artifactId><groupId>com.apesource</groupId><version>1.0-SNAPSHOT</version></parent><modelVersion>4.0.0</modelVersion><artifactId>api-gateway</artifactId><dependencies><!-- gateway网关 --><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-gateway</artifactId></dependency><!-- nacos客户端 --><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency></dependencies>

        <artifactId>表示当前项目名称，<roupId>是表示依赖项所属的组织，这里是 Spring Cloud。里面的<artifactId>表示的是依赖项，这个依赖是用于引入 Spring Cloud Gateway 网关功能的 starter 包。第二个是引入 Nacos 服务发现功能的 starter 包。

（2）编写基础配置和路由规则

        然后是在api-gateway中的yml文件中进行编写配置信息：

server:port: 7000
spring:application:name: api-gatewaycloud:nacos:discovery:server-addr: 127.0.0.1:8848gateway:discovery:locator:enabled: true # 让gateway可以发现nacos中的微服务routes: # 路由数组[路由 就是指定当请求满足什么条件的时候转到哪个微服务]- id: product_route # 当前路由的标识, 要求唯一uri: lb://service-product  #请求要转发到的地址order: 1 # 路由的优先级,数字越小级别越高predicates: # 断言(就是路由转发要满足的条件)- Path=/product-serv/** # 当请求路径满足Path指定的规则时,才进行路由转发filters: # 过滤器,请求在传递过程中可以通过过滤器对其进行一定的修改- StripPrefix=1 # 转发之前去掉1层路径

        其中spring.cloud.gateway.discovery.locator.enabled是启用 Gateway 的服务发现功能，使得 Gateway 可以自动发现注册在 Nacos 中的微服务。

        spring.cloud.gateway.routes是定义路由规则的数组，每个路由规则决定了特定请求如何被转发到目标微服务。id是当前路由的唯一标识。

        uri:lb://service-product是当请求满足路由条件时，使用负载均衡将请求转发到 service-product 服务。lb:// 前缀表示使用负载均衡机制选择一个实例进行转发。

        order是路由的优先级，数字越小，优先级越高。

        predicates是定义路由的断言，即当请求满足这些条件时才进行转发。咱们的代码是当你的路径为/product-serv/.../...的时候就会执行路由转发到指定的uri下。

        但是转到指定的uri下还是存在着/product-serv/这层断言，呢怎么删除它呢，这时候就用到了filters过滤器，可以在转发之前对请求进行修改。- StripPrefix=1代表将路径中的第一层前缀去掉，刚好/product-serv/这层断言在第一层，那么就删除掉了。

        我们将符合Path 规则的一切请求，都代理到 uri 参数指定的地址。

（3）重启测试

        我们把三个shop-order、shop-product、api-gateway全部启动起来，三个服务全部运行在nacos上面，并进行检查一下：

        现在三个服务都注册在nacos的服务列表上了，进行浏览器输入url进行测试：

        这里断言通过/product-serv/执行咱们的uri路径下的服务呢就是service-product服务，再通过服务里的方法请求/product/4获取了产品中的id为4的产品信息，到此就成功了。

（4）总结

        网关搭建步骤：

• 创建项目，引入nacos服务发现和gateway依赖。
• 配置application.yml，包括服务基本信息、nacos地址、路由。

        路由配置包括：

• 路由id：路由的唯一标示。
• 路由目标(uri)：路由的目标地址，http代表固定地址，lb代表根据服务名负载均衡。
• 路由断言(predicates)：判断路由的规则，执行相关的uri。
• 路由过滤器(filters)：对请求或响应做处理。

3、断言工厂

        我们在配置文件中写的断言规则只是字符串，这些字符串会被Predicate Factory读取并处理，转变为路由判断的条件例如Path=/user/**是按照路径匹配，这个规则是由
org.springframework.cloud.gateway.handler.predicate.PathRoutePredicateFactory类来处理的，像这样的断言工厂在SpringCloudGateway还有十几个：

名称	说明	示例
After	是某个时间点后的请求	- After=2037-01- 20T17:42:47.789- 07:00[America/Denver]
Before	是某个时间点之前的请求	- Before=2031-04- 13T15:14:47.433+08:00[Asia/Sha nghai]
Between	是某两个时间点之前的请求	- Between=2037-01- 20T17:42:47.789- 07:00[America/Denver], 2037- 01-21T17:42:47.789- 07:00[America/Denver]
Cookie	请求必须包含某些cookie	- Cookie=chocolate, ch.p
Header	请求必须包含某些header	- Header=X-Request-Id, \d+
Host	请求必须是访问某个host （域名）	- Host=.somehost.org,.anotherhost .org
Method	请求方式必须是指定方式	- Method=GET,POST
Path	请求路径必须符合指定规则	- Path=/red/{segment},/blue/**
Query	请求参数必须包含指定参数	- Query=name, Jack或者Query=name
RemoteAddr	请求者的ip必须是指定范围	- RemoteAddr=192.168.1.1/24
Weight	权重处理

        代码演示：

          predicates:- Path=/product-serv/**- Before=2031-04-13T15:14:47.433+08:00[Asia/Shanghai]

        其中Before代表的请求必须在特定的时间之前到达才会匹配这个路由。

4、过滤器工厂

        GatewayFilter是网关中提供的一种过滤器，可以对进入网关的请求和微服务返回的响应做处理：

（1）路由过滤器的种类

        Spring提供了31种不同的路由过滤器工厂：

（2）请求头过滤器

        下面我们以 AddRequestHeader 为例来讲解只需要修改gateway服务的application.yml文件，添加路由过滤即可：

server:port: 7000
spring:application:name: api-gatewaycloud:nacos:discovery:server-addr: 127.0.0.1:8848gateway:discovery:locator:enabled: true # 让gateway可以发现nacos中的微服务routes:- id: product_routeuri: lb://service-product # lb指的是从nacos中按照名称获取微服务,并遵循负载均 衡策略order: 1predicates:- Path=/product-serv/**- Before=2031-04-13T15:14:47.433+08:00[Asia/Shanghai]filters:- StripPrefix=1- AddRequestHeader=msg,wake up! # 添加请求头

        这里AddRequestHeader=msg,wake up!是用于在请求中添加一个新的请求头。msg是请求头的名称，wake up是请求头的值。

        controller层代码：

@RestController
@Slf4j//操作日志
public class ProductController {@RequestMapping("/productHeader")public String productHeader(@RequestHeader(value = "msg",required = false) String msg) {System.out.println("=============>头信息："+msg);return "productHeader";}}

        @Slf4j是这个注解来自 Lombok 库，用于自动生成一个名为 log 的 org.slf4j.Logger 实例。它可以简化日志记录操作，使你能够方便地记录日志。

        其中@RequestHeader(value = "msg", required = false)是从请求的头信息中提取 msg 头部的值，并将其绑定到方法参数 msg 上。

        执行代码，首先先输入url：

        在控制台返回打印信息：

（3）默认过滤器

        如果要对所有的路由都生效，则可以将过滤器工厂写到default下。格式如下：

server:port: 7000
spring:application:name: api-gatewaycloud:nacos:discovery:server-addr: 127.0.0.1:8848gateway:discovery:locator:enabled: true # 让gateway可以发现nacos中的微服务routes:- id: product_routeuri: lb://service-productorder: 1predicates:- Path=/product-serv/**default-filters: # 默认过滤器，会对所有的路由请求都⽣效 - AddRequestHeader=msg,wake up! # 添加请求头

        其中的default-filters是这个配置项定义了默认的过滤器列表。default-filters 下的过滤器会自动应用到通过网关的每个路由，无需在每个路由单独配置。这些过滤器对于所有路由请求都有效。

（4）全局过滤器

        刚才认识的过滤器，网关提供了31种，但每一种过滤器的作用都是固定的。如果我们希望拦截请求，做自己的业务逻辑则没办法实现。

        全局过滤器作用

        全局过滤器的作用也是处理一切进入网关的请求和微服务响应，与GatewayFilter的作用一样。区别在于GatewayFiter通过配置定义，处理逻辑是固定的；而GlobalFilter的逻辑需要自己写代码实现。

        定义方式是实现GlobalFilter接口（在api-gateway模块下创建一个util包）：

@Order(-1)
@Component
public class AuthorizeFilter implements GlobalFilter {@Overridepublic Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {// 1.获取请求参数String auth = exchange.getRequest().getHeaders().get("authorization").get(0);// 3.校验if ("admin".equals(auth)) {// 放行return chain.filter(exchange);}// 4.拦截// 4.1.禁止访问exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);// 4.2.结束处理return exchange.getResponse().setComplete();}
}

        @Order(-1)是指定了过滤器的执行顺序。-1表示该过滤器将优先于其他过滤器执行，因为值越小优先级越高。可以用-2但是不推荐，得按照规范。

        filter(ServerWebExchange exchange, GatewayFilterChain chain)：filter方法是过滤器的核心逻辑，它接受两个参数：ServerWebExchange exchange包含了请求和响应等信息的对象、GatewayFilterChain chain用于将请求传递给下一个过滤器。

        第一行从请求头中获取authorization字段的值。再进行判断如果请求头中的指定值和"admin"相同，那么放行，将请求传递给下一个过滤器或最终的处理器。

        如果没有匹配成功，则会进行拦截操作，将拒绝该请求，这里是将HTTP状态为401（未授权）。

        在filter中编写自定义逻辑，可以实现下列功能：

• 登录状态判断
• 权限校验
• 请求限流等

        自定义全局过滤器

        需求：定义全局过滤器，拦截请求，判断请求的参数是否满足下面条件：

• 参数中是否有authorization
• authorization参数值是否为admin

（5）过滤器执行顺序

        请求进入网关会碰到三类过滤器:当前路由的过滤器、DefaultFilter、GlobalFilter请求路由后，会将当前路由过滤器和DefaultFilter、GlobalFilter，合并到一个过滤器链(集合中，排序后依次执行每个过滤器：

        排序的规则是什么呢?

• 每一个过滤器都必须指定一个int类型的order值，order值越小，优先级越高，执行顺序越靠前。
• GlobalFilter通过实现Ordered接口，或者添加@Order注解来指定order值由我们自己指定路。
• 由过滤器和defaultFilter的order由Spring指定，默认是按照声明顺序从1递增。
• 当过滤器的order值一样时，会按照 defaultFilter > 路由过滤器 > GlobalFilter的顺序执行。

5、浏览器同源策略

        1995年，同源政策由 Netscape 公司引入浏览器。目前，所有浏览器都实行这个政策。最初，它的含义是指，A网页设置的 Cookie，B网页不能打开，除非这两个网页“同源"。所谓"同源"指的是"三个相同"。

• 协议相同
• 域名相同
• 端口相同

        举例： 

        http://www.example.com/dir/page.html网址

• 协议是http://
• 域名是www.example.com
• 端口是80（默认端口可以省略）

        它的同源情况如下：

• http://www.example.com/dir2/other.html：同源
• http://example.com/dir/other.html：不同源（域名不同）
• http://v2.www.example.com/dir/other.html：不同源（域名不同）
• http://www.example.com:81/dir/other.html：不同源（端口不同）

        同源目的：

        同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。

        设想这样一种情况:A网站是一家银行，用户登录以后，又去浏览其他网站。如果其他网站可以读取A网站的 Cookie，会发生什么?

        很显然，如果 Cookie 包含隐私(比如存款总额)，这些信息就会泄漏。更可怕的是，Cookie 往往用来保存用户的登录状态，如果用户没有退出登录，其他网站就可以冒充用户，为所欲为。因为浏览器同时还规定，提交表单不受同源政策的限制。

        由此可见，“同源政策“是必需的，否则 Cookie 可以共享，互联网就毫无安全可言了。

6、跨域问题解决方案

        跨域：域名不一致就是跨域，主要包括：

• 域名不同：www.taobao.com和 www.taobao.org 和 www.jd.com 和 miaosha.jd.com
• 域名相同，端口不同：localhost:8080和localhost8081

        跨域问题：浏览器禁止请求的发起者与服务端发生跨域ajax请求，请求被浏览器拦截的问题

        CORS：CORS是跨源资源分享(Cross-Origin Resource Sharing)的缩写。它是W3C标准，是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求，CORS允许任何类型的请求在gateway服务的application.yml文件中，添加下面的配置：

spring:cloud:gateway:globalcors: # 全局的跨域处理add-to-simple-url-handler-mapping: true # 解决options请求被拦截问题corsConfigurations:'[/**]':allowedOrigins: # 允许哪些⽹站的跨域请求 - "http://localhost:8090"allowedMethods: # 允许的跨域ajax的请求⽅式- "GET"- "POST"- "DELETE"- "PUT"- "OPTIONS"allowedHeaders: "*" # 允许在请求中携带的头信息allowCredentials: true # 是否允许携带cookiemaxAge: 360000 # 这次跨域检测的有效期