Openresty最佳案例 | 第9篇:Openresty实现的网关权限控制

举报
方志朋 发表于 2018/12/22 16:15:01 2018/12/22
【摘要】 采用openresty 开发出的api网关有很多,比如比较流行的kong、orange等。这些API 网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。

简介

采用openresty 开发出的api网关有很多,比如比较流行的kong、orange等。这些API 网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。


技术栈

本小节采用了以下的技术栈:


  • Openresty(lua+nginx)

  • mysql

  • redis

  • cjson


验证流程

  • 用户请求经过nginx,nginx的openresty的模块通过拦截请求来进行权限判断

  • openresty的access_by_lua_file模块,进行了一系列的判断

    用户的请求是否为白名单uri,如果为白名单uri,则直接通过验证,进入下一个验证环节content_by_lua_file,这个环节直接打印一句话:“恭喜,      请求通过。”

    如果用户请求不为白名单url,则需要取出请求header中的token,如果请求的header不存在token,则直接返回结果401,无权限访问。

    如果用户请求的uri的请求头包含token ,则取出token,解密token取出用户id

    根据取出的userid去查询数据库获取该用户的权限,如果权限包含了该请求的uri,请求可以通过,否则,请求不通过。

  • 请求如果通过access_by_lua_file模块,则进入到content_by_lua_file模块,该模块直接返回一个字符串给用户请求,在实际的开发中,可能为路由到具体的应用程序的服务器。


验证流程图如下所示:


image.png


vim /usr/example/example.conf ,加上以下的配置:


 image.png


以上的配置表示,要不符合已有location路径的所有请求,将走这个location为/ 的路径。符合这个location的请求将进入 access_by_lua_file和 content_by_lua_file的模块判断。


vim /usr/example/lua/access_by_lua_file ,加上以下代码:


image.png


在上述代码中:


  • is_include(value, tab),该方法判断某个字符串在不在这个table中。

  • white_uri={"/user/login","/user/validate"} 是一个白名单的列表。

  • local headers = ngx.req.get_headers()从请求的uri的请求头获取token

  • is_include(url,white_uri)判断该url是否为白名单url

  • local user_id=tokentool.get_user_id(token)根据token获取该token对应的用户的user_id,在常见情况下,是根据token解析出user_id,但在不同的语言加密和加密token存在盐值不一样的情况,比较麻烦,所以我偷了个懒,直接存了redis,用户登录成功后存一下。

  • permissions =tokentool.get_permissions(user_id)根据user_id

  • 从redis获取该用户的权限。

  • permissions= mysqltool.select_user_permission(user_id)如果redis没有存该用户的权限,则从数据库读。

  • tokentool.set_permissions(user_id,permissions),将从数据库中读取的权限点存在reddis中。

  • local is_contain_permission = is_include(url,permissions),判断该url 在不在该用户对应的权限列表中。


如果所有的判断通过,则该用户请求的具有权限访问,则进入content_by_lua_file模块,直接在这个模块给请求返回“congratulations! you have passed the api gateway”。


vim /usr/example/lua/api_content.lua ,添加以下内容:


image.png


验证演示

打开浏览器访问http://116.196.177.123/user/login,浏览器显示:


image.png


/user/login这个url 在白名单的范围内,所以它是可以通过权限验证的。


打开浏览器访问http://116.196.177.123/user/sss,显示以下内容:


image.png


在redis中添加一对key-value,key为token_forezp,value为1,即token_forezp对应的用户的id为1.


image.png


初始化以下的sql脚本,即给用户id为1的用户关联角色,角色并关联权限:


image.png


用postman请求,在请求头中加入token,值为token_forezp,请求结果如下:


image.png


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。