微服务网关提供路由策略和鉴权策略,两种策略互相协同作用,可以实现多个第三方应用安全访问相同的内部服务。
背景信息
当第三方应用需要访问微服务网关后端服务时,必须设置鉴权策略,以防止存在恶意请求,对后端服务造成无法预估的影响。
当存在多个第三方应用(假设有应用A和应用B)访问微服务网关后端服务,为每个第三方应用设置鉴权策略时会出现访问路径重叠的情况,导致无法正确配置鉴权策略。所以微服务网关后端服务在对外开放时,需要设置多个访问路径,以便于设置多个鉴权策略,实现多个第三方应用安全访问相同的内部服务。
设置路由策略
- 登录微服务网关控制台。
- 在左侧导航栏选择网关管理。
- 在网关管理页面顶部菜单栏选择地域,然后单击网关名称。
- 在网关详情页面左侧导航栏单击API管理。
- 在API管理页面单击API名称。
- 在API管理页面请求处理区域单击创建策略。
- 在创建策略页面设置策略名称、策略类型和策略配置,然后单击确认。

创建策略参数说明:
参数 |
描述 |
策略名称 |
自定义设置策略名称。 |
策略别名 |
自定义设置易于辨识策略的别名信息。 |
策略类型 |
选择路由-ZUUL。
|
启用状态 |
策略开关,默认开启。 |
策略配置 |
设置访问路径。根据第三方应用设置对应的访问路径,以应用A和应用B的访问路径为例: A:
path: /A/**
serviceId: myusers-service
B:
path: /B/**
serviceId: myusers-service
|
- 在API管理页面底部单击保存并发布。
系统弹出发布详情对话框,请单击关闭。
设置鉴权策略
请参见
第三方应用访问内部服务的鉴权策略,为每一个第三方应用设置鉴权策略。
说明 不同的鉴权策略使用的Server Key是相同的,但是鉴权策略中的”rules/path“设置与
步骤8中设置的“path”保持一致,保证每一个第三方应用的鉴权匹配路径不一样。不同的第三方应用访问相同的内部服务时,使用不同的鉴权匹配路径,也可以使用不同的Token进行鉴权。
结果验证
- 应用A访问内部服务。
- 在浏览器地址栏输入http://微服务网关绑定的EIP:80/A/user/test,按enter键,界面提示阻止JWT身份验证。

微服务绑定的EIP,即是网关入口SLB绑定的EIP。关于绑定EIP的详细操作,请参见
绑定EIP。
- 在访问路径后增加?jwt_token=Client Token的值信息,按enter键,界面返回Hello from [8080]!。

Client Token的值从微服务网关凭证详情页面获取。
- 应用B访问内部服务
- 在浏览器地址栏输入http://微服务网关绑定的EIP:80/B/user/test,按enter键,界面提示阻止JWT身份验证。

微服务绑定的EIP,即是网关入口SLB绑定的EIP。关于绑定EIP的详细操作,请参见
绑定EIP。
- 在访问路径后增加?jwt_token=Client Token的值信息,按enter键,界面返回Hello from [8080]!。

Client Token的值从微服务网关凭证详情页面获取。
在文档使用中是否遇到以下问题
更多建议
匿名提交