0x7OpenResty系列:Openresty最佳案例| 第9篇:Openresty实现的网关权限控制

举报
云享专家 发表于 2019/09/30 14:38:32 2019/09/30
【摘要】 如果用户请求不为白名单的URL,则需要取出请求报头中的标记,如果请求的报头不存在标记,则直接返回结果401,无权限访问。 § 如果用户请求的uri的请求头包含令牌,则回收令牌,解密令牌回收用户id § 根据取出的用户ID去查询数据库获取该用户的权限,如果权限包含了该请求的URI,请求可以通过,否则,请求不通过。

简介

这些API网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能通常能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。

技术栈

本小节采用了以下的技术栈:

·         Openresty(LUA + nginx的)

·         MySQL的

·         Redis的

·         cjson

验证流程

·         用户请求经过nginx的,nginx的的openresty的模块通过拦截请求来进行权限判断

·         openresty的access_by_lua_file模块,进行了一系列的判断

§  用户的请求是否为白名单URI,如果为白名单URI,则直接通过验证,进入下一个验证环节content_by_lua_file,这个环节直接打印一句话:“恭喜,请求通过。”

§  如果用户请求不为白名单的URL,则需要取出请求报头中的标记,如果请求的报头不存在标记,则直接返回结果401,无权限访问。

§  如果用户请求的uri的请求头包含令牌,则回收令牌,解密令牌回收用户id

§  根据取出的用户ID去查询数据库获取该用户的权限,如果权限包含了该请求的URI,请求可以通过,否则,请求不通过。

·         请求如果通过access_by_lua_file模块,则进入到content_by_lua_file模块,该模块直接返回一个字符串给用户请求,在实际的开发中,可能为路由到具体的应用程序的服务器。

验证流程图如下所示:

3.jpg

vim /usr/example/example.conf,加上以下的配置:

 location / {
    default_type "text/html";
    access_by_lua_file /usr/example/lua/api_access.lua;
    content_by_lua_file /usr/example/lua/api_content.lua;
  }


以上的配置表示,要不符合现有位置路径的所有请求,将走这个位置为/的路径。符合这个位置的请求将进入access_by_lua_file和content_by_lua_file的模块判断。

vim / usr / example / lua / access_by_lua_file,加上以下代码:

local tokentool = require "tokentool"
local mysqltool = require "mysqltool"
 
 function is_include(value, tab)
   for k,v in ipairs(tab) do
      if v == value then
           return true
       end
    end
    return false
 end
 
local white_uri={"/user/login","/user/validate"}
 
--local user_id = ngx.req.get_uri_args()["userId"]
--获取header的token值
local headers = ngx.req.get_headers()
local token=headers["token"]
local url=ngx.var.uri
if ( not token) or (token==null) or (token ==ngx.null) then
  if is_include(url,white_uri)then
 
  else
    return ngx.exit(401)
  end
else
  ngx.log(ngx.ERR,"token:"..token)
  local user_id=tokentool.get_user_id(token)
  if (not user_id) or( user_id ==null) or ( user_id == ngx.null) then
      return ngx.exit(401)
  end
 
  ngx.log(ngx.ERR,"user_id"..user_id)
  local permissions={}
  permissions =tokentool.get_permissions(user_id)
  if(not permissions)or(permissions==null)or( permissions ==ngx.null) then
      permissions= mysqltool.select_user_permission(user_id)
      if permissions and permissions ~= ngx.null then
         tokentool.set_permissions(user_id,permissions)
      end
  end
  if(not permissions)or(permissions==null)or( permissions ==ngx.null) then
     return ngx.exit(401)
  end
  local is_contain_permission = is_include(url,permissions)
 
  if is_contain_permission == true  then
     -- ngx.say("congratuation! you have pass the api gateway")
  else
      return ngx.exit(401)
  end
end


在上述代码中:

·         is_include(value,tab),该方法判断某些字符串在不在这个表中。

·         white_uri = {“ / user / login”,” / user / validate”}是一个白名单的列表。

·         本地标头= ngx.req.get_headers()从请求的uri的请求头获取令牌

·         is_include(URL,white_uri)判断该网址是否为白名单网址

·         local user_id = tokentool.get_user_id(token)根据令牌获取该令牌对应的用户的user_id,在常见情况下,是根据令牌解析出user_id,但在不同的语言加密和加密令牌存在盐值不一样的情况下,比较麻烦,所以我偷了个懒,直接存了Redis的,用户登录成功后存一下。

·         权限= tokentool.get_permissions(user_id)根据user_id
从redis获取该用户的权限。

·         权限= mysqltool.select_user_permission(user_id)如果redis没有存储该用户的权限,则从数据库读。

·         tokentool.set_permissions(USER_ID,权限),将从数据库中读取的权限点存在reddis中。

·         local is_contain_permission = is_include(url,permissions),判断该URL在该用户对应的权限列表中。

如果所有的判断通过,则该用户请求的具有权限访问,则进入content_by_lua_file模块,直接在这个模块给请求返回“恭喜!您已通过api网关”。

vim /usr/example/lua/api_content.lua,添加以下内容:

ngx.say("congratulations!"," you have passed ","the api gateway")
----200状态码退出
return ngx.exit(200)

 

验证演示

打开浏览器访问http://116.196.177.123/user/login,浏览器显示:

恭喜!您已通过api网关

/ user / login这个网址在白名单的范围内,所以它是可以通过权限验证的。

打开浏览器访问http://116.196.177.123/user/sss,显示以下内容:

需要401授权

openresty / 1.11.2.4

在redis的中添加一对键值,键为token_forezp,值为1,即token_forezp对应的用户的ID为1。

/usr/servers/redis-3.2.6
 
src/redis-cli
 
set token_forezp 1


初始化以下的SQL脚本,即给用户ID为1的用户关联角色,角色并关联权限:

INSERT INTO `permission` VALUES ('1', '/user/orgs');
INSERT INTO `role` VALUES ('1', 'user');
INSERT INTO `role_permission` VALUES ('1', '1', '1');
INSERT INTO `user` VALUES ('1', 'forezp');
INSERT INTO `user_role` VALUES ('1', '1', '1');


用邮递员请求,在请求头中加入令牌,值为token_forezp,请求结果如下:

4.jpg

 

 

原创作者:方志朋

方志朋简介:SpringCloud中国社区联合创始人,博客访问量突破一千万,爱好开源,热爱分享,活跃于各大社区,保持着非常强的学习驱动力,终身学习践行者,终身学习受益者。目前就职于国内某家知名互联网保险公司,担任DEVOPS工程师,对微服务领域和持续集成领域研究较深,精通微服务框架SpringCloud


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
NAT
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入