在前兩篇文章：服務(wù)網(wǎng)關(guān)(基礎(chǔ))、服務(wù)網(wǎng)關(guān)(路由配置)中，我們了解了Spring Cloud Zuul作為網(wǎng)關(guān)所具備的最基本功能：路由。本文我們將具體介紹一下Spring Cloud Zuul的另一項(xiàng)核心功能：過(guò)濾器。

[[204199]]

過(guò)濾器的作用

通過(guò)上面所述的兩篇我們，我們已經(jīng)能夠?qū)崿F(xiàn)請(qǐng)求的路由功能，所以我們的微服務(wù)應(yīng)用提供的接口就可以通過(guò)統(tǒng)一的API網(wǎng)關(guān)入口被客戶(hù)端訪問(wèn)到了。但是，每個(gè)客戶(hù)端用戶(hù)請(qǐng)求微服務(wù)應(yīng)用提供的接口時(shí)，它們的訪問(wèn)權(quán)限往往都需要有一定的限制，系統(tǒng)并不會(huì)將所有的微服務(wù)接口都對(duì)它們開(kāi)放。

然而，目前的服務(wù)路由并沒(méi)有限制權(quán)限這樣的功能，所有請(qǐng)求都會(huì)被毫無(wú)保留地轉(zhuǎn)發(fā)到具體的應(yīng)用并返回結(jié)果，為了實(shí)現(xiàn)對(duì)客戶(hù)端請(qǐng)求的安全校驗(yàn)和權(quán)限控制，最簡(jiǎn)單和粗暴的方法就是為每個(gè)微服務(wù)應(yīng)用都實(shí)現(xiàn)一套用于校驗(yàn)簽名和鑒別權(quán)限的過(guò)濾器或攔截器。

不過(guò)，這樣的做法并不可取，它會(huì)增加日后的系統(tǒng)維護(hù)難度，因?yàn)橥粋€(gè)系統(tǒng)中的各種校驗(yàn)邏輯很多情況下都是大致相同或類(lèi)似的，這樣的實(shí)現(xiàn)方式會(huì)使得相似的校驗(yàn)邏輯代碼被分散到了各個(gè)微服務(wù)中去，冗余代碼的出現(xiàn)是我們不希望看到的。

所以，比較好的做法是將這些校驗(yàn)邏輯剝離出去，構(gòu)建出一個(gè)獨(dú)立的鑒權(quán)服務(wù)。在完成了剝離之后，有不少開(kāi)發(fā)者會(huì)直接在微服務(wù)應(yīng)用中通過(guò)調(diào)用鑒權(quán)服務(wù)來(lái)實(shí)現(xiàn)校驗(yàn)，但是這樣的做法僅僅只是解決了鑒權(quán)邏輯的分離，并沒(méi)有在本質(zhì)上將這部分不屬于業(yè)余的邏輯拆分出原有的微服務(wù)應(yīng)用，冗余的攔截器或過(guò)濾器依然會(huì)存在。

對(duì)于這樣的問(wèn)題，更好的做法是通過(guò)前置的網(wǎng)關(guān)服務(wù)來(lái)完成這些非業(yè)務(wù)性質(zhì)的校驗(yàn)。由于網(wǎng)關(guān)服務(wù)的加入，外部客戶(hù)端訪問(wèn)我們的系統(tǒng)已經(jīng)有了統(tǒng)一入口，既然這些校驗(yàn)與具體業(yè)務(wù)無(wú)關(guān)，那何不在請(qǐng)求到達(dá)的時(shí)候就完成校驗(yàn)和過(guò)濾，而不是轉(zhuǎn)發(fā)后再過(guò)濾而導(dǎo)致更長(zhǎng)的請(qǐng)求延遲。同時(shí)，通過(guò)在網(wǎng)關(guān)中完成校驗(yàn)和過(guò)濾，微服務(wù)應(yīng)用端就可以去除各種復(fù)雜的過(guò)濾器和攔截器了，這使得微服務(wù)應(yīng)用的接口開(kāi)發(fā)和測(cè)試復(fù)雜度也得到了相應(yīng)的降低。

為了在API網(wǎng)關(guān)中實(shí)現(xiàn)對(duì)客戶(hù)端請(qǐng)求的校驗(yàn)，我們將需要使用到Spring Cloud Zuul的另外一個(gè)核心功能：過(guò)濾器。

Zuul允許開(kāi)發(fā)者在API網(wǎng)關(guān)上通過(guò)定義過(guò)濾器來(lái)實(shí)現(xiàn)對(duì)請(qǐng)求的攔截與過(guò)濾，實(shí)現(xiàn)的方法非常簡(jiǎn)單，我們只需要繼承ZuulFilter抽象類(lèi)并實(shí)現(xiàn)它定義的四個(gè)抽象函數(shù)就可以完成對(duì)請(qǐng)求的攔截和過(guò)濾了。

過(guò)濾器的實(shí)現(xiàn)

比如下面的代碼，我們定義了一個(gè)簡(jiǎn)單的Zuul過(guò)濾器，它實(shí)現(xiàn)了在請(qǐng)求被路由之前檢查HttpServletRequest中是否有accessToken參數(shù)，若有就進(jìn)行路由，若沒(méi)有就拒絕訪問(wèn)，返回401 Unauthorized錯(cuò)誤。

public class AccessFilterextends ZuulFilter{ 
 
    private static Logger log = LoggerFactory.getLogger(AccessFilter.class); 
 
    @Override 
    publicStringfilterType(){ 
        return "pre"; 
    } 
 
    @Override 
    public int filterOrder(){ 
        return 0; 
    } 
 
    @Override 
    public boolean shouldFilter(){ 
        return true; 
    } 
 
    @Override 
    publicObjectrun(){ 
        RequestContext ctx = RequestContext.getCurrentContext(); 
        HttpServletRequest request = ctx.getRequest(); 
 
        log.info("send {} request to {}", request.getMethod(), request.getRequestURL().toString()); 
 
        Object accessToken = request.getParameter("accessToken"); 
        if(accessToken == null) { 
            log.warn("access token is empty"); 
            ctx.setSendZuulResponse(false); 
            ctx.setResponseStatusCode(401); 
            return null; 
        } 
        log.info("access token ok"); 
        return null; 
    } 
 
} 

在上面實(shí)現(xiàn)的過(guò)濾器代碼中，我們通過(guò)繼承 ZuulFilter抽象類(lèi)并重寫(xiě)了下面的四個(gè)方法來(lái)實(shí)現(xiàn)自定義的過(guò)濾器。這四個(gè)方法分別定義了：

• filterType：過(guò)濾器的類(lèi)型，它決定過(guò)濾器在請(qǐng)求的哪個(gè)生命周期中執(zhí)行。這里定義為 pre，代表會(huì)在請(qǐng)求被路由之前執(zhí)行。
• filterOrder：過(guò)濾器的執(zhí)行順序。當(dāng)請(qǐng)求在一個(gè)階段中存在多個(gè)過(guò)濾器時(shí)，需要根據(jù)該方法返回的值來(lái)依次執(zhí)行。
• shouldFilter：判斷該過(guò)濾器是否需要被執(zhí)行。這里我們直接返回了 true，因此該過(guò)濾器對(duì)所有請(qǐng)求都會(huì)生效。實(shí)際運(yùn)用中我們可以利用該函數(shù)來(lái)指定過(guò)濾器的有效范圍。
• run：過(guò)濾器的具體邏輯。這里我們通過(guò) ctx.setSendZuulResponse(false)令zuul過(guò)濾該請(qǐng)求，不對(duì)其進(jìn)行路由，然后通過(guò) ctx.setResponseStatusCode(401)設(shè)置了其返回的錯(cuò)誤碼，當(dāng)然我們也可以進(jìn)一步優(yōu)化我們的返回，比如，通過(guò) ctx.setResponseBody(body)對(duì)返回body內(nèi)容進(jìn)行編輯等。

在實(shí)現(xiàn)了自定義過(guò)濾器之后，它并不會(huì)直接生效，我們還需要為其創(chuàng)建具體的Bean才能啟動(dòng)該過(guò)濾器，比如，在應(yīng)用主類(lèi)中增加如下內(nèi)容：

@EnableZuulProxy 
@SpringCloudApplication 
public class Application{ 
 
    public static void main(String[] args){ 
        new SpringApplicationBuilder(Application.class).web(true).run(args); 
    } 
 
    @Bean 
    publicAccessFilteraccessFilter(){ 
        return new AccessFilter(); 
    } 
} 

在對(duì) api-gateway服務(wù)完成了上面的改造之后，我們可以重新啟動(dòng)它，并發(fā)起下面的請(qǐng)求，對(duì)上面定義的過(guò)濾器做一個(gè)驗(yàn)證：

• http://localhost:1101/api-a/hello：返回401錯(cuò)誤
• http://localhost:1101/api-a/hello&accessToken=token：正確路由到 hello-service的 /hello接口，并返回 HelloWorld

到這里，對(duì)于Spring Cloud Zuul過(guò)濾器的基本功能就以介紹完畢。讀者可以根據(jù)自己的需要在服務(wù)網(wǎng)關(guān)上定義一些與業(yè)務(wù)無(wú)關(guān)的通用邏輯實(shí)現(xiàn)對(duì)請(qǐng)求的過(guò)濾和攔截，比如：簽名校驗(yàn)、權(quán)限校驗(yàn)、請(qǐng)求限流等功能。

【本文為51CTO專(zhuān)欄作者“翟永超”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)51CTO聯(lián)系作者獲取授權(quán)】

戳這里，看該作者更多好文