微服务网关提供路由策略和鉴权策略,两种策略互相协同作用,可以实现多个第三方应用安全访问相同的内部服务。
背景信息
当第三方应用需要访问微服务网关后端服务时,必须设置鉴权策略,以防止存在恶意请求,对后端服务造成无法预估的影响。
当存在多个第三方应用(假设有应用A和应用B)访问微服务网关后端服务,为每个第三方应用设置鉴权策略时会出现访问路径重叠的情况,导致无法正确配置鉴权策略。所以微服务网关后端服务在对外开放时,需要设置多个访问路径,以便于设置多个鉴权策略,实现多个第三方应用安全访问相同的内部服务。
设置路由策略
- 在创建策略页面设置策略名称、策略类型和策略配置,然后单击确认。
创建策略参数说明:参数 描述 策略名称 自定义设置策略名称。 策略别名 自定义设置易于辨识策略的别名信息。 策略类型 选择路由-ZUUL。 启用状态 策略开关,默认开启。 策略配置 设置访问路径。根据第三方应用设置对应的访问路径,以应用A和应用B的访问路径为例: A: path: /A/** serviceId: myusers-service B: path: /B/** serviceId: myusers-service
设置鉴权策略
请参见第三方应用访问内部服务的鉴权策略,为每一个第三方应用设置鉴权策略。
说明 不同的鉴权策略使用的Server Key是相同的,但是鉴权策略中的”rules/path“设置与步骤8中设置的“path”保持一致,保证每一个第三方应用的鉴权匹配路径不一样。不同的第三方应用访问相同的内部服务时,使用不同的鉴权匹配路径,也可以使用不同的Token进行鉴权。
结果验证
- 应用A访问内部服务。
- 在浏览器地址栏输入http://微服务网关绑定的EIP:80/A/user/test,按enter键,界面提示阻止JWT身份验证。
微服务绑定的EIP,即是网关入口SLB绑定的EIP。关于绑定EIP的详细操作,请参见绑定EIP。 - 在访问路径后增加
jwt_token=Client Token的值信息,按enter键,界面返回Hello from [8080]!。
Client Token的值从微服务网关凭证详情页面获取。
- 在浏览器地址栏输入http://微服务网关绑定的EIP:80/A/user/test,按enter键,界面提示阻止JWT身份验证。
- 应用B访问内部服务
- 在浏览器地址栏输入http://微服务网关绑定的EIP:80/B/user/test,按enter键,界面提示阻止JWT身份验证。
微服务绑定的EIP,即是网关入口SLB绑定的EIP。关于绑定EIP的详细操作,请参见绑定EIP。 - 在访问路径后增加
jwt_token=Client Token的值,按enter键,界面返回Hello from [8080]!。
Client Token的值从微服务网关凭证详情页面获取。
- 在浏览器地址栏输入http://微服务网关绑定的EIP:80/B/user/test,按enter键,界面提示阻止JWT身份验证。