微服务架构 服务之间跨域问题怎么解决?

发表于

导读:跨域资源共享(cors)可以放宽浏览器的同源策略,可以通过浏览器让不同的网站和不同的服务器之间通信。

一、背景

当前微服务拆分已经成为趋势,大部分公司都对其软件产品做微服务架构调整。对产品先进行业务、模块拆分,大部分也进行前后端分离的业务调整。

服务拆分不能避免的问题那就是:请求跨域问题,针对跨域问题,先前专门做了资料整理

  • 什么是跨域?
  • 请求跨域会影响?
  • 跨域资源共享(cors)到底解决了什么?

针对这些问题可以查看 《SpringCloud 中跨域资源共享(cors)到底解决了什么?》

还有解决跨域问题开启跨域资源共享(cors)后。

  • 会有哪些影响?
  • 会不会被攻击?
  • 如果被攻击会有哪几种方式?

针对这系列问题可查看《微服务开启跨域资源共享(cors)后,真的会被攻击么?》

二、实战分享

▐ 定义配置

阅读CorsConfiguration源码可以发现在CORS 配置中定义

图片

  • allowedOrigins 允许访问域名列表
  • allowedMethods 允许方法列表
  • resolvedMethods 允许头访问列表
  • allowedHeaders 允许的请求头
  • exposedHeaders 拓展请求头
  • allowCredentials 允许凭据

基础CorsConfiguration的定义可自定义跨域配置信息CorsConfig 实现 CorsConfigurationSource

图片

1
2
3
4
5
6
7
8
9
ini复制代码## Csrf 安全拦截
kmss.security.referers       = http:xxx.com.cn
## 跨域配置
## 允许访问的origin 列表
kmss.security.allowedOrigins = http://www.baidu.com,http://www.google.com
## 允许方法的方法列表
kmss.security.allowedMethods = GET,POST,HEAD,TRACE,OPTION
## 允许的请求头,一般不开启
kmss.security.allowedHeaders =

图片

注意在配置时候引用注解@ConfigurationProperties为什么这里使用单一注解并没有直接注入到Bean容器中?针对这问题的分析可阅读《@EnableConfigurationProperties 的工作原理》

▐ 实现getCorsConfiguration方法

配置信息CorsConfig基础信息后实现getCorsConfiguration方法

1
java复制代码@Overridepublic CorsConfiguration getCorsConfiguration(HttpServletRequest request) {    CorsConfiguration configuration = null;        // 根据配置结合业务写入CORS 配置    /**     *  allowedOrigins 允许访问域名列表     *  allowedMethods 允许方法列表     *  resolvedMethods 允许头访问列表     *  allowedHeaders 允许的请求头     *  exposedHeaders 拓展请求头     *  allowCredentials  允许凭据    **/    return configuration;}

▐ 定义 CorsSecurityFilter 拦截器

图片

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
scala复制代码/**
 * cors安全
 */
public class CorsSecurityFilter extends CorsFilter {
 
    /**
     * 构造函数
     */
    public CorsSecurityFilter(CorsConfigurationSource configSource) {
        super(configSource);
    }
 
    /**
     * 避免类不被执行
     */
    @Override
    protected String getFilterName() {
        return null;
    }
}

▐ Web线程拦截器

定义Web线程拦截器为了,用于统一处理线程变量!同一个服务肯定不会出现跨域问题。只有不同服务之间调用才会出现此类问题。记得先前在分析 《怎样在输出日志中加入traceId 进行链路追踪》如何保证各个微服务之间调用的安全性?**》**对个服务之间RPC调用请求线程变量传递问题。

图片

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
scala复制代码/**
 * Web线程拦截器,用于统一处理线程变量
 *
 * 该过滤器执行顺序早于springsecurity的过滤器
 */
public class WebThreadFilter extends CompositeFilterProxy {
    /**
     * 应用上下文
     */
    private ApplicationContext applicationContext;
    
    /**
    * 跨站安全配置
    */
    private CorsConfig corsConfig;
 
   /**
    * http相关配置
    */
   private HttpConfig httpConfig;
 
  public WebThreadFilter(List<IWebFilterDef> filterDefs,
      List<SystemTag> systemTags) {
    super(filterDefs, systemTags);
    }
 
    @Override
    protected void initFilterBean() throws ServletException {
        applicationContext = WebApplicationContextUtils.getWebApplicationContext(this.getServletContext());
        corsConfig = applicationContext.getBean(CorsConfig.class);
    //...
        super.initFilterBean();
    }
 
    @Override
    protected void handleInnerFilters(List<Filter> innerFilters) {
        super.handleInnerFilters(innerFilters);
    //...
    innerFilters.add(0, new CorsSecurityFilter(corsConfig));
    }
 
    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws ServletException, IOException {
    request = new ValidatorHttpServletRequestWrapper((HttpServletRequest) request,httpConfig);
    compositeFilter.doFilter(request, response, chain);
    }
}

三、总结

本文主要微服务之间跨域问题的解决方案,至于为什么会存在跨域问题和跨域问题开启后会有哪些攻击模式

在上几篇文章中已逐步分析,解决微服务跨域问题主要分三步走

  • 基于Spring-web 中 CorsConfiguration 重新定义CorsConfig 配置信息
  • 基于Spring-web 中 CorsFilter 重新实现拦截器 CorsSecurityFilter
  • 实现线程变量拦截与传递问题

专注于高质量 技术文章原创分享与交流,拒绝水文、软文。

首发地址:微服务架构 | 服务之间跨域问题怎么解决?

本文转载自: 掘金

开发者博客 – 和开发相关的 这里全都有

0%