2020-03-31

一、概念

不同的微服务一般会有不同的网络地址，而外部客户端可能需要调用多个服务的接口才能完成一个业务需求，
如果让客户端直接与各个微服务通信，会有以下的问题：
    客户端会多次请求不同的微服务，增加了客户端的复杂性。
    存在跨域请求，在一定场景下处理相对复杂。
    认证复杂，每个服务都需要独立认证。
    难以重构，随着项目的迭代，可能需要重新划分微服务。
    例如，可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信，那么重构将会很难实施。

以上这些问题可以借助网关解决。
    网关是介于客户端和服务器端之间的中间层，所有的外部请求都会先经过 网关这一层。也就是说，API 的实现方面更多
    的考虑业务逻辑，而安全、性能、监控可以交由 网关来做，这样既提高业务灵活性又不缺安全性。
    
优点如下：
    安全 ，只有网关系统对外进行暴露，微服务可以隐藏在内网，通过防火墙保护。
    易于监控。可以在网关收集监控数据并将其推送到外部系统进行分析。
    易于统一认证授权。可以在网关上进行认证，然后再将请求转发到后端的微服务，而无须在每个微服务中进行认证。
    减少了客户端与各个微服务之间的交互次数。
总结：微服务网关就是一个系统，通过暴露该微服务网关系统，方便我们进行相关的鉴权，安全控制，日志统一处理，易于监控的相关功能。

实现微服务网关的技术有很多：
    nginx Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务
    zuul ,Zuul 是 Netflix 出品的一个基于 JVM 路由和服务端的负载均衡器。
    spring-cloud-gateway, 是spring 出品的 基于spring 的网关项目，集成断路器，路径重写，性能比Zuul好。
    //使用gateway这个网关技术，无缝衔接到基于spring cloud的微服务开发中来。
    
gateway官网：
https://spring.io/projects/spring-cloud-gateway

二、跨域(配置即可)

spring:
  application:
    name: gateway
  cloud:
    gateway:
      globalcors:
        cors‐configurations:
          '[/**]': # 匹配所有请求
            allowedOrigins: "*" #跨域处理 允许所有的域
            allowedMethods: # 支持的方法
            - GET
            - POST
            - PUT
            - DELETE

三、限流

1.实现方案

限流方案有多种：令牌桶算法、漏桶算法、技术算法等等；
这里采用令牌桶算法：
    1）所有的请求在处理之前都需要拿到一个可用的令牌才会被处理；
    2）根据限流大小，设置按照一定的速率往桶里添加令牌；
    3）桶设置最大的放置令牌限制，当桶满时、新添加的令牌就被丢弃或者拒绝；
    4）请求达到后首先要获取令牌桶中的令牌，拿着令牌才可以进行其他的业务逻辑，
       处理完业务逻辑之后，将令牌直接删除；
    5）令牌桶有最低限额，当桶中的令牌达到最低限额的时候，请求处理完之后将不会删除
       令牌，以此保证足够的限流 

2.图解

在这里插入图片描述

3.代码及配置：

    filters:
        - StripPrefix= 1    # 过滤掉一个前缀路径
        - name: RequestRateLimiter #请求数限流 名字不能随便写
          args:
            key-resolver: "#{@ipKeyResolver}"  # 令牌解析器
            redis-rate-limiter.replenishRate: 1 #令牌桶每秒填充平均速率
            redis-rate-limiter.burstCapacity: 1 #令牌桶总容量；一般总容量为填充速率的2倍或3倍

@SpringBootApplication
@EnableEurekaClient
public class GatewayApplication {
    public static void main(String[] args) {
        SpringApplication.run(GatewayApplication.class, args);
    }
//在GatewayApplicatioin引导类中添加如下代码，KeyResolver用于计算某一个类型的限
//流的KEY也就是说，可以通过KeyResolver来指定限流的Key
    @Bean
    public KeyResolver ipKeyResolver(){
       return new KeyResolver() {
           @Override
           public Mono<String> resolve(ServerWebExchange exchange) {
               return Mono.just(exchange.getRequest().getRemoteAddress().getHostName());
           }
       };
    }
}

四、鉴权

1.方案

鉴权即权限校验，这里采用JWT实现
执行流程：
    1. 用户进入网关开始登陆，网关过滤器进行判断，如果是登录，则路由到后台管理微服务进行登录
    2. 用户登录成功，后台管理微服务签发JWT TOKEN信息返回给用户
    3. 用户再次进入网关开始访问，网关过滤器接收用户携带的TOKEN
    4. 网关过滤器解析TOKEN ，判断是否有权限，如果有，则放行，如果没有则返回未认证错误

2.图解

在这里插入图片描述

3.测试代码

 pom文件中引入相关依赖
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

public class JwtTest {

    public static void main(String[] args) {
        //获取系统的当前时间
        long currentTimeMillis = System.currentTimeMillis();
        Date date = new Date(currentTimeMillis+10000);

        //生成jwt令牌
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("66")//设置jwt编码
                .setSubject("JWT主题")//设置jwt主题
                .setIssuedAt(new Date())//设置jwt签发日期
                .setExpiration(date) //过期时间设置
                .signWith(SignatureAlgorithm.HS256, "irong")
                .claim("username","admin")
                .claim("password","123456");

        //生成jwt
        String jwtToken = jwtBuilder.compact();
        System.out.println(jwtToken);

        /*eyJhbGciOiJIUzI1NiJ9
        .eyJqdGkiOiI2NiIsInN1YiI6Ium7kemprOeoi-W6j-
         WRmCIsImlhdCI6MTU4MzI4Nzc3NiwiZXhwIjoxNTgzMjg3Nzc2LCJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYifQ
         .x9ljHiu856h5FQCKNJeu--k2eQV0P4KtntKuHLm9G2A*/


        //解析jwt,得到其内部的数据
        Claims claims = Jwts.parser().setSigningKey("irong").parseClaimsJws(jwtToken).getBody();
        System.out.println(claims);
    }
}