shenyu怎麼處理sign鑒權前置到網關

前言

shenyu以前叫soul網關，我比較早關註它的，直到前不久看到它們創始人發的朋友圈，才知道現在已經是apache頂級項目瞭，666

今天我點瞭下shenyu issue裡頭逛逛，發現瞭一個老哥說能否做到對簽名插件的擴展，然後我就去看瞭shenyu裡頭怎麼實現驗簽的

github.com/apache/shen…

加瞭他們創始人微信挺久瞭，也關註shenyu網關一段時間，因為本身在架構組也會接觸網關內容

shenyu跟其他網關一樣，都是通過責任鏈的方式，這樣可以靈活進行擴展，也能做到每個處理類都難處理到。

我目前項目也有鑒權功能，也看看別人是怎麼實現的

首先肯定是找到對應的模塊，shenyu-plugin-sign,SignPlugin 就是網關處理鏈條中的一環。

@Bean
public ShenyuPlugin signPlugin(final SignService signService) {
    return new SignPlugin(signService);
}

就是你在項目裡頭註入哪個SignService實現類，它會塞到這插件裡頭來。

它會去判斷規則是否存在，什麼規則？就是驗證簽名的時候那些配置，比如說多久超時，哪些url要通過sign驗簽。

但是這裡也暴露瞭一個問題，過度依賴配置，如果做到高可用，可以做一層backup備份，如果沒有配置，或者配置讀不到的情況下，讀取上次配置的內容。

這裡有個比較好的東西，就是會將一些內容封裝到上下文裡頭，比如說a節點，處理瞭一個東西，還要set一個特殊的key到header裡面，然後讓後面的去拿，這就很不方便瞭，如果是放在上下文的話，這就統一處理。

驗簽邏輯開始，首先是對時間做驗證，然後再是算法驗。

這裡我要直呼一聲好傢夥，exchange.getRequest().getQueryParams()直接拿到請求的參數，如果你在服務裡面實現那得累死你，區分post、get請求，需要特殊處理。

buildParamsMap(shenyuContext, requestBody)

這個map裡頭有啥？加瞭時間戳、url、版本號，請求參數（去除sign）

DigestUtils.md5DigestAsHex(sign.getBytes()).toUpperCase()

這裡是sign簽名算法

到這裡，shenyu的sign插件邏輯就差不多瞭，直呼好傢夥，跟我現在項目裡頭驗簽邏輯一毛一樣，隻是簽名算法有所不同。但是這裡面還是有些能優化的點，比如說過度依賴shenyu現有的配置內容，需要做到網關點高可用～

shenyu這裡跟其他配置中心也有所不一樣，采用map來接收配置內容，我們看nacos、apolla這些框架是刷新到eventment環境變量裡頭去。

以上就是shenyu怎麼處理sign鑒權前置到網關的詳細內容，更多關於shenyu處理sign鑒權前置網關的資料請關註WalkonNet其它相關文章！