CN109660546B - 基于NetflixZuul的API网关实现鉴权的方法 - Google Patents

Abstract

本申请公开了一种基于NetflixZuul的API网关实现鉴权的方法，方法包括：客户端对原始报文的报文体进行MD5预哈希运算，客户端获取客户端时间戳，客户端将所述MDK、APPID和所述客户端时间戳进行签名，客户端生成令牌，客户端将所述令牌发送至API网关，API网关接收所述令牌，并进行验证。本发明增加了API网关对原始报文携带的时间戳的校验，防止原始报文被抓包后，被重复发送；本发明对原始报文进行RSA签名，通过API网关的RSA验签过滤器对报文进行验签，防止报文内容被恶意篡改。

Description

基于NetflixZuul的API网关实现鉴权的方法

技术领域

本发明涉及API网关技术领域，更具体地，涉及基于NetflixZuul的API网关实现鉴权的方法。

背景技术

API网关(API Gateway)是随着微服务一起兴起的一种架构模式，它用于解决微服务过于分散，没有一个统一的出入口进行流量管理的问题。API网关可以在上层抽象出各业务系统需要的通用功能，例如：鉴权、限流、ACL、降级等。在API网关处实现统一的鉴权，主流实现方式主要有HTTP Basic和JWT，HTTP Basic鉴权的实现方式用户名和密码每次都在Header中通过Base64编码明文传输，安全性极低。JWT鉴权的实现方式弥补了HTTP Basic的弊端，但是JWT在安全性方面仍存在以下问题：

1、用户身份信息容易被窃取，获取凭据的过程中，用户名密码容易被明文或中间人攻击抓包，导致用户信息永久性泄漏；

2、报文被抓取后可以被重复发送或伪造，因为没有时间戳校验，报文被抓包之后，通过工具可以重复发送；

3、报文内容可以被篡改，主流鉴权方案一般不会对报文体内容进行保护，因为没有签名机制，报文体可以被随意伪造。

发明内容

本发明公开了基于NetflixZuul的API网关实现鉴权的方法，方法包括：

一种基于NetflixZuul的API网关实现鉴权的方法，应用于客户端与API网关之间，其特征在于，客户端中存储有客户端ID，记作APPID，客户端利用非对称加密RSA算法生成私钥和公钥，所述私钥和公钥与APPID相对应，所述私钥存储在客户端中，所述公钥存储在API网关中，包括：

客户端对原始报文的报文体进行MD5预哈希运算：所述原始报文包括报文头和报文体，所述客户端对报文体进行MD5预哈希运算，将结果记作MDK；

客户端获取客户端时间戳；

客户端将所述MDK、APPID和所述客户端时间戳进行签名：

客户端将所述MDK、APPID和所述客户端时间戳拼接，将拼接结果记作EK，客户端通过所述APPID获得所述私钥，利用所述私钥对所述EK进行签名，得到RSA签名，记作RK；

客户端生成令牌：

客户端将所述APPID、客户端时间戳和所述RK进行拼接，将拼接结果作为令牌；

客户端将所述令牌发送至API网关；

API网关接收所述令牌，并进行验证：

API网关中设有RSA验签过滤器，RSA验签过滤器拦截并接收所述令牌，当验证所述APPID不存在时，API网关向客户端返回验证异常信息；当验证所述APPID存在时，继续校验客户端时间戳，当API网关当前时间与客户端时间戳的差值超过阈值时，API网关向客户端返回验证异常信息，所述阈值预先配置在API网关中；当API网关当前时间与客户端时间戳的差值小于阈值时，对原始报文的所述报文体进行MD5预哈希运算，运算结果记作MK，将APPID、客户端时间戳和所述MK进行拼接，将拼接结果作为待验签内容，所述RSA验签过滤器利用APPID获得存储在API网关的公钥，所述RSA验签过滤器通过非对称加密RSA算法，将待验签的内容与所述公钥进行验签，验签结果与令牌相同，验签成功，验签结果与令牌不同，验签失败，API网关向客户端返回验证异常信息。

优选的，所述API网关基于NetflixZuul框架。

优选的，所述NetflixZuul框架包括PRE、ROUTING、POST和ERROR四种过滤器，所述PRE过滤器完成身份验证、在集群中选择请求的微服务和记录调试信息，所述ROUTING过滤器完成将请求路由到微服务，所述POST过滤器完成响应添加标准的HTTP Header、收集统计信息和将响应从微服务发送给客户端，所述ERROR过滤器在发生错误时执行。

优选的，所述RSA验签过滤器的类型为所述PRE过滤器。

优选的，所述令牌存储在所述报文头中。

优选的，所述API网关还包括日志过滤器和限流过滤器。

优选的，所述客户端获取客户端时间戳进一步为：客户端向所述API网关发起请求时，由客户端动态生成，为客户端当前时间。

优选的，所述阈值为5-10分钟。

与现有技术相比，本发明提供的基于NetflixZuul的API网关实现鉴权的方法，达到如下有益效果：

第一，本发明API网关RSA验签过滤器拦截令牌，将无效令牌丢弃，减轻API网关的负载。

第二，本发明增加了API网关对原始报文携带的时间戳的校验，防止原始报文被抓包后，被重复发送。

第三，本发明对原始报文进行RSA签名，通过API网关的RSA验签过滤器对报文进行验签，防止报文内容被恶意篡改。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明实施例1中基于NetflixZuul的API网关实现鉴权的方法的流程图；

图2为本发明实施例2中基于NetflixZuul的API网关实现鉴权的方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。应注意到，所描述的实施例实际上仅仅是本发明一部分实施例，而不是全部的实施例，且实际上仅是说明性的，决不作为对本发明及其应用或使用的任何限制。本申请的保护范围当视所附权利要求所界定者为准。

实施例1：

参见图1所示为本申请所述基于NetflixZuul的API网关实现鉴权的方法的具体实施例，该方法包括：

步骤101、客户端对原始报文的报文体进行MD5预哈希运算：

所述原始报文包括报文头和报文体，所述客户端对报文体进行MD5预哈希运算，将结果记作MDK；

步骤102、客户端获取客户端时间戳；

步骤103、客户端将所述MDK、APPID和所述客户端时间戳进行签名：

客户端将所述MDK、APPID和所述客户端时间戳拼接，将拼接结果记作EK，客户端通过所述APPID获得所述私钥，利用所述私钥对所述EK进行签名，得到RSA签名，记作RK；

所述客户端对所述MDK、APPID和所述客户端时间戳进行签名，防止原始报文内容被恶意篡改；

步骤104、客户端生成令牌：

客户端将所述APPID、客户端时间戳和所述RK进行拼接，将拼接结果作为令牌；

步骤105、客户端将所述令牌发送至API网关；

步骤106、API网关接收所述令牌，并进行验证：

API网关中设有RSA验签过滤器，RSA验签过滤器拦截并接收所述令牌，当验证所述APPID不存在时，API网关向客户端返回验证异常信息；当验证所述APPID存在时，继续校验客户端时间戳，当API网关当前时间与客户端时间戳的差值超过阈值时，API网关向客户端返回验证异常信息，所述阈值预先配置在API网关中；当API网关当前时间与客户端时间戳的差值小于阈值时，对原始报文的所述报文体进行MD5预哈希运算，运算结果记作MK，将APPID、客户端时间戳和所述MK进行拼接，将拼接结果作为待验签内容，所述RSA验签过滤器利用APPID获得存储在API网关的公钥，所述RSA验签过滤器通过非对称加密RSA算法，将待验签的内容与所述公钥进行验签，验签结果与令牌相同，验签成功，验签结果与令牌不同，验签失败，API网关向客户端返回验证异常信息；

所述的RSA验签过滤器对时间戳进行校验，防止原始报文被抓包后，被重复发送；API网关RSA验签过滤器拦截令牌，将无效令牌丢弃，减轻API网关的负载。

实施例2：

本申请提供了基于NetflixZuul的API网关实现鉴权的方法的另一个实施例，该方法包括：

步骤201、客户端对原始报文的报文体进行MD5预哈希运算：

所述原始报文包括报文头和报文体，所述客户端对报文体进行MD5预哈希运算，将结果记作MDK；

步骤202、客户端获取客户端时间戳；

在上述步骤202中，所述客户端获取客户端时间戳进一步为：客户端向所述API网关发起请求时，由客户端动态生成，为客户端当前时间。

步骤203、客户端将所述MDK、APPID和所述客户端时间戳进行签名：

客户端将所述MDK、APPID和所述客户端时间戳拼接，将拼接结果记作EK，客户端通过所述APPID获得所述私钥，利用所述私钥对所述EK进行签名，得到RSA签名，记作RK；

所述客户端对所述MDK、APPID和所述客户端时间戳进行签名，防止原始报文内容被恶意篡改；

步骤204、客户端生成令牌：

客户端将所述APPID、客户端时间戳和所述RK进行拼接，将拼接结果作为令牌；

在上述步骤204中，所述令牌存储在所述报文头中；

步骤205、客户端将所述令牌发送至API网关；

在上述步骤205中，所述API网关基于NetflixZuul框架；

在上述步骤205中，所述NetflixZuul框架包括PRE、ROUTING、POST和ERROR四种过滤器，所述PRE过滤器完成身份验证、在集群中选择请求的微服务和记录调试信息，所述ROUTING过滤器完成将请求路由到微服务，所述POST过滤器完成响应添加标准的HTTPHeader、收集统计信息和将响应从微服务发送给客户端，所述ERROR过滤器在发生错误时执行；

在上述步骤205中，所述RSA验签过滤器的类型为所述PRE过滤器；

在上述步骤205中，所述API网关还包括日志过滤器和限流过滤器；所述的API网关还包括其他过滤器，不限于日志过滤器和限流过滤器；

所述日志过滤器实现访问日志的记录，可用于分析访问和处理性能指标，所述限流过滤器实现微服务访问流量计算，基于流量计算分析进行限流

步骤206、API网关接收所述令牌，并进行验证：

API网关中设有RSA验签过滤器，RSA验签过滤器拦截并接收所述令牌，当验证所述APPID不存在时，API网关向客户端返回验证异常信息；当验证所述APPID存在时，继续校验客户端时间戳，当API网关当前时间与客户端时间戳的差值超过阈值时，API网关向客户端返回验证异常信息，所述阈值预先配置在API网关中；当API网关当前时间与客户端时间戳的差值小于阈值时，对原始报文的所述报文体进行MD5预哈希运算，运算结果记作MK，将APPID、客户端时间戳和所述MK进行拼接，将拼接结果作为待验签内容，所述RSA验签过滤器利用APPID获得存储在API网关的公钥，所述RSA验签过滤器通过非对称加密RSA算法，将待验签的内容与所述公钥进行验签，验签结果与令牌相同，验签成功，验签结果与令牌不同，验签失败，API网关向客户端返回验证异常信息；

在上述步骤206中，所述阈值为5-10分钟；

所述的RSA验签过滤器对时间戳进行校验，防止原始报文被抓包后，被重复发送；API网关RSA验签过滤器拦截令牌，将无效令牌丢弃，减轻API网关的负载。

实施例3：

在实施例2的基础上，结合图2对本发明做进一步说明：

客户端将生成的令牌发送至API网关：

客户端对报文体进行MD5预哈希运算，将结果记作MDK；客户端将所述MDK、APPID和所述客户端时间戳进行签名，客户端将所述MDK、APPID和所述客户端时间戳拼接，将拼接结果记作EK，客户端通过所述APPID获得所述私钥，利用所述私钥对所述EK进行签名，得到RSA签名，记作RK，客户端将所述APPID、客户端时间戳和所述RK进行拼接，将拼接结果作为令牌，客户端将生成的令牌发送至API网关；

API网关的RSA验签过滤器拦截令牌并对令牌进行验证；

当验证所述APPID不存在时，API网关向客户端返回验证异常信息；

当验证所述APPID存在时，继续校验客户端时间戳；

当API网关当前时间与客户端时间戳的差值超过阈值时，API网关向客户端返回验证异常信息；

当API网关当前时间与客户端时间戳的差值小于阈值时，API网关的RSA验签过滤器利用公钥验签令牌是否正确，具体为：对原始报文的所述报文体进行MD5预哈希运算，运算结果记作MK，将APPID、客户端时间戳和所述MK进行拼接，将拼接结果作为待验签内容，所述RSA验签过滤器利用APPID获得存储在API网关的公钥，所述RSA验签过滤器通过非对称加密RSA算法，将待验签的内容与所述公钥进行验签，验签结果与令牌相同，验签成功，验签结果与令牌不同，验签失败，API网关向客户端返回验证异常信息。

通过以上各实施例可知，本申请存在的有益效果是：

第一，本发明API网关RSA验签过滤器拦截令牌，将无效令牌丢弃，减轻API网关的负载。

第二，本发明增加了API网关对原始报文携带的时间戳的校验，防止原始报文被抓包后，被重复发送。

第三，本发明对原始报文进行RSA签名，通过API网关RSA验签过滤器对报文进行验签，防止报文内容被恶意篡改。

上面通过附图和实施例，对本发明的技术方案做虽然已经通过例子对本发明的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上例子仅是为了进行说明，而不是为了限制本发明的范围。尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。本发明的范围由所附权利要求来限定。

Claims (7)

1.一种基于NetflixZuul的API网关实现鉴权的方法，应用于客户端与API网关之间，其特征在于，客户端中存储有客户端ID，记作APPID，客户端利用非对称加密RSA算法生成私钥和公钥，所述私钥和公钥与APPID相对应，所述私钥存储在客户端中，所述公钥存储在API网关中，包括：

客户端对原始报文的报文体进行MD5预哈希运算：所述原始报文包括报文头和报文体，所述客户端对报文体进行MD5预哈希运算，将结果记作MDK；

客户端获取客户端时间戳；

客户端将所述MDK、APPID和所述客户端时间戳进行签名：

客户端将所述MDK、APPID和所述客户端时间戳拼接，将拼接结果记作EK，客户端通过所述APPID获得所述私钥，利用所述私钥对所述EK进行签名，得到RSA签名，记作RK；

客户端生成令牌：

客户端将所述APPID、客户端时间戳和所述RK进行拼接，将拼接结果作为令牌；

客户端将所述令牌发送至API网关；

API网关接收所述令牌，并进行验证：

API网关中设有RSA验签过滤器，RSA验签过滤器拦截并接收所述令牌，当验证所述APPID不存在时，API网关向客户端返回验证异常信息；当验证所述APPID存在时，继续校验客户端时间戳，当API网关当前时间与客户端时间戳的差值超过阈值时，API网关向客户端返回验证异常信息，所述阈值预先配置在API网关中；当API网关当前时间与客户端时间戳的差值小于阈值时，对原始报文的所述报文体进行MD5预哈希运算，运算结果记作MK，将APPID、客户端时间戳和所述MK进行拼接，将拼接结果作为待验签内容，所述RSA验签过滤器利用APPID获得存储在API网关的公钥，所述RSA验签过滤器通过非对称加密RSA算法，将待验签的内容与所述公钥进行验签，验签结果与令牌相同，验签成功，验签结果与令牌不同，验签失败，API网关向客户端返回验证异常信息。

2.根据权利要求1所述基于NetflixZuul的API网关实现鉴权的方法，其特征在于，所述NetflixZuul包括PRE、ROUTING、POST和ERROR四种过滤器，所述PRE过滤器完成身份验证、在集群中选择请求的微服务和记录调试信息，所述ROUTING过滤器完成将请求路由到微服务，所述POST过滤器完成响应添加标准的HTTP Header、收集统计信息和将响应从微服务发送给客户端，所述ERROR过滤器在发生错误时执行。

3.根据权利要求2所述基于NetflixZuul的API网关实现鉴权的方法，其特征在于，所述RSA验签过滤器的类型为所述PRE过滤器。

4.根据权利要求1所述基于NetflixZuul的API网关实现鉴权的方法，其特征在于，所述令牌存储在所述报文头中。

5.根据权利要求1所述基于NetflixZuul的API网关实现鉴权的方法，其特征在于，所述API网关还包括日志过滤器和限流过滤器。

6.根据权利要求1所述基于NetflixZuul的API网关实现鉴权的方法，其特征在于，所述客户端获取客户端时间戳进一步为：

客户端向所述API网关发起请求时，由客户端动态生成，为客户端当前时间。

7.根据权利要求1所述基于NetflixZuul的API网关实现鉴权的方法，其特征在于，所述阈值为5-10分钟。

Images