Openresty最佳案例 | 第9篇:Openresty实现的网关权限控制
简介
采用openresty 开发出的api网关有很多,比如比较流行的kong、orange等。这些API 网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。
技术栈
本小节采用了以下的技术栈:
Openresty(lua+nginx)
mysql
redis
cjson
验证流程
用户请求经过nginx,nginx的openresty的模块通过拦截请求来进行权限判断
openresty的access_by_lua_file模块,进行了一系列的判断
用户的请求是否为白名单uri,如果为白名单uri,则直接通过验证,进入下一个验证环节content_by_lua_file,这个环节直接打印一句话:“恭喜,请求通过。”
如果用户请求不为白名单url,则需要取出请求header中的token,如果请求的header不存在token,则直接返回结果401,无权限访问。
如果用户请求的uri的请求头包含token ,则取出token,解密token取出用户id
根据取出的userid去查询数据库获取该用户的权限,如果权限包含了该请求的uri,请求可以通过,否则,请求不通过。
请求如果通过access_by_lua_file模块,则进入到content_by_lua_file模块,该模块直接返回一个字符串给用户请求,在实际的开发中,可能为路由到具体的应用程序的服务器。
验证流程图如下所示:
vim /usr/example/example.conf ,加上以下的配置:
location / {default_type "text/html";access_by_lua_file /usr/example/lua/api_access.lua;content_by_lua_file /usr/example/lua/api_content.lua;}
以上的配置表示,要不符合已有location路径的所有请求,将走这个location为/ 的路径。符合这个location的请求将进入 access_by_lua_file和 content_by_lua_file的模块判断。
vim /usr/example/lua/access_by_lua_file ,加上以下代码:
local tokentool = require "tokentool"
local mysqltool = require "mysqltool"function is_include(value, tab)for k,v in ipairs(tab) doif v == value thenreturn trueendendreturn falseendlocal white_uri={"/user/login","/user/validate"}--local user_id = ngx.req.get_uri_args()["userId"]
--获取header的token值
local headers = ngx.req.get_headers()
local token=headers["token"]
local url=ngx.var.uri
if ( not token) or (token==null) or (token ==ngx.null) thenif is_include(url,white_uri)thenelsereturn ngx.exit(401)end
else ngx.log(ngx.ERR,"token:"..token)local user_id=tokentool.get_user_id(token)if (not user_id) or( user_id ==null) or ( user_id == ngx.null) thenreturn ngx.exit(401) end ngx.log(ngx.ERR,"user_id"..user_id)local permissions={}permissions =tokentool.get_permissions(user_id)if(not permissions)or(permissions==null)or( permissions ==ngx.null) thenpermissions= mysqltool.select_user_permission(user_id)if permissions and permissions ~= ngx.null thentokentool.set_permissions(user_id,permissions)endend if(not permissions)or(permissions==null)or( permissions ==ngx.null) thenreturn ngx.exit(401)end local is_contain_permission = is_include(url,permissions) if is_contain_permission == true then-- ngx.say("congratuation! you have pass the api gateway")elsereturn ngx.exit(401) end
end
在上述代码中:
is_include(value, tab),该方法判断某个字符串在不在这个table中。
white_uri={“/user/login”,”/user/validate”} 是一个白名单的列表。
local headers = ngx.req.get_headers()从请求的uri的请求头获取token
is_include(url,white_uri)判断该url是否为白名单url
local user_id=tokentool.get_user_id(token)根据token获取该token对应的用户的user_id,在常见情况下,是根据token解析出user_id,但在不同的语言加密和加密token存在盐值不一样的情况,比较麻烦,所以我偷了个懒,直接存了redis,用户登录成功后存一下。
permissions =tokentool.get_permissions(user_id)根据user_id
从redis获取该用户的权限。permissions= mysqltool.select_user_permission(user_id)如果redis没有存该用户的权限,则从数据库读。
tokentool.set_permissions(user_id,permissions),将从数据库中读取的权限点存在reddis中。
local is_contain_permission = is_include(url,permissions),判断该url 在不在该用户对应的权限列表中。
如果所有的判断通过,则该用户请求的具有权限访问,则进入content_by_lua_file模块,直接在这个模块给请求返回“congratulations! you have passed the api gateway”。
vim /usr/example/lua/api_content.lua ,添加以下内容:
ngx.say("congratulations!"," you have passed ","the api gateway")
----200状态码退出
return ngx.exit(200)
验证演示
打开浏览器访问http://116.196.177.123/user/login,浏览器显示:
congratulations! you have passed the api gateway
/user/login这个url 在白名单的范围内,所以它是可以通过权限验证的。
打开浏览器访问http://116.196.177.123/user/sss,显示以下内容:
401 Authorization Required
openresty/1.11.2.4
在redis中添加一对key-value,key为token_forezp,value为1,即token_forezp对应的用户的id为1.
/usr/servers/redis-3.2.6src/redis-cliset token_forezp 1
初始化以下的sql脚本,即给用户id为1的用户关联角色,角色并关联权限:
INSERT INTO `permission` VALUES ('1', '/user/orgs');
INSERT INTO `role` VALUES ('1', 'user');
INSERT INTO `role_permission` VALUES ('1', '1', '1');
INSERT INTO `user` VALUES ('1', 'forezp');
INSERT INTO `user_role` VALUES ('1', '1', '1');
用postman请求,在请求头中加入token,值为token_forezp,请求结果如下:
Openresty最佳案例 | 第9篇:Openresty实现的网关权限控制相关推荐
- Openresty最佳案例 | 第3篇:Openresty的安装
我的服务器为一台全新的centos 7的服务器,所以从头安装openresty,并记录了安装过程中出现的问题,以及解决办法. 1.首先安装openresty cd /usr mkdir servers ...
- Openresty最佳案例 | 第8篇:RBAC介绍、sql和redis模块工具类
RBAC介绍 RBAC(Role-Based Access Control,基于角色的访问控制),用户基于角色的访问权限控制.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成&q ...
- Openresty最佳案例 | 第4篇:OpenResty常见的api
获取请求参数 vim /usr/example/example.conf location /lua_var {default_type 'text/plain';content_by_lua_bl ...
- Openresty最佳案例 | 第7篇: 模块开发、OpenResty连接Redis
Lua模块开发 在实际的开发过程中,不可能把所有的lua代码写在一个lua文件中,通常的做法将特定功能的放在一个lua文件中,即用lua模块开发.在lualib目录下,默认有以下的lua模块. lua ...
- Openresty最佳案例 | 第5篇:http和C_json模块
http客户端 Openresty没有提供默认的Http客户端,需要下载第三方的http客户端. 下载lua-resty-http到lualib目录下,使用以下的命令下载: cd /usr/examp ...
- Openresty最佳案例 | 第1篇:Nginx介绍
Nginx 简介 Nginx是一个高性能的Web 服务器,同时是一个高效的反向代理服务器,它还是一个IMAP/POP3/SMTP 代理服务器. 由于Nginx采用的是事件驱动的架构,能够处理并发百万级 ...
- Openresrt最佳案例 | 第2篇:Lua入门
什么是lua Lua 是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放, 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能. Lua 是巴西里约热内卢天主教大学(Po ...
- Openresrt最佳案例
第1篇:Nginx介绍 Nginx是一个高性能的Web 服务器,同时是一个高效的反向代理服务器,它还是一个IMAP/POP3/SMTP 代理服务器. 由于Nginx采用的是事件驱动的架构,能够处理并发 ...
- 权限控制案例(细粒度)
权限控制案例 利用注解和动态代理来完成权限控制的功能 案例实现分析 * 创建数据库表 * 对应数据库表,创建JavaBean * 导入必要的Jar包 * 完成用户登录逻辑.功能 ...
最新文章
- NVIDIA GPU自动调度神经网络
- NSUserDefaults的用法
- hbm2java和hbm2ddl的使用步骤
- python画图fig.show()一闪而过的解决方法
- 双向循环链表的插入排序
- 今天开通了自己的博客
- Python基础学习01
- 交换两个整形变量的数值
- mysql htmlspecialchars_htmlSpecialchars和MySQL_REARY_EXECH_String是否保证PHP代码
- vim代码自动补全函数提示设置
- Android学习笔记--文件下载和SD卡的使用
- pytorch .item_从数据到模型,你可能需要1篇详实的pytorch踩坑指南
- 深度学习:语言模型的评估标准
- 深度学习入门者选择开源框架丨硬创公开课群友问答
- php小炒花生米,花生(炒)的做法_花生(炒)怎么做好吃_花生(炒)的家常做法大全【美食杰】...
- iTerm2 + Fish 打造高效终端
- 网络交换机怎么连接硬盘录像机、网络交换机怎么连接摄像头
- 第一次带项目遇到的坑
- java服务端监控平台设计
- not executable: 64-bit ELF file 已解决