您现在的位置是：亿华云 > 应用开发

SpringCloud Alibaba微服务实战之禁止直接访问后端服务

亿华云2025-10-09 03:38:36【应用开发】4人已围观

简介本文转载自微信公众号「JAVA日知录」，作者单一色调。转载本文请联系JAVA日知录公众号。前言使用SpringCloud架构后我们希望所有的请求都需要经过网关才能访问，在不作任何处理的情况下我们是可

本文转载自微信公众号「JAVA日知录」，微服务实作者单一色调。战之直接转载本文请联系JAVA日知录公众号。禁止

前言

使用SpringCloud架构后我们希望所有的访问服务请求都需要经过网关才能访问，在不作任何处理的后端情况下我们是可以绕过网关直接访问后端服务的。如下，微服务实我们绕过网关直接访问后端服务也是战之直接可以获取到数据的。

那我们今天的禁止议题就是如何防止请求绕过网关直接访问后端服务?

解决方案

我觉得防止绕过网关直接请求后端服务的解决方案主要有三种：

使用Kubernetes部署

在使用Kubernetes部署SpringCloud架构时我们给网关的Service配置NodePort，其他后端服务的访问服务Service使用ClusterIp，这样在集群外就只能访问到网关了。后端

网络隔离

后端普通服务都部署在内网，微服务实通过防火墙策略限制只允许网关应用访问后端服务。b2b供应网战之直接

应用层拦截

请求后端服务时通过拦截器校验请求是禁止否来自网关，如果不来自网关则提示不允许访问。访问服务

这里我们着重关注在应用层拦截这种解决方案。后端

实现思路

实现思路其实也很简单，在请求经过网关的时候给请求头中增加一个额外的Header，在后端服务中写一个拦截器，判断请求头是否与在网关设置的请求Header一致，如果不一致则不允许访问并给出提示。

当然为了防止在每个后端服务都需要编写这个拦截器，我们可以将其写在一个公共的starter中，让后端服务引用即可。而且为了灵活，可以通过配置决定是否只允许后端服务访问。

接下来我们看看核心代码。(代码中涉及 SpringBoot 编写公共Starter的亿华云套路，相信看过我博客的同学肯定是会的，因为之前文章有详细说过。)

实现过程

在网关cloud-gateway模块编写网关过滤器

@Component @Order(0) public class GatewayRequestFilter implements GlobalFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes()); String[] headerValues = { new String(token)}; ServerHttpRequest build = exchange.getRequest() .mutate() .header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues) .build(); ServerWebExchange newExchange = exchange.mutate().request(build).build(); return chain.filter(newExchange); } }

在请求经过网关时添加额外的Header，为了方便这里直接设置成固定值。

建立公共Starter模块cloud-component-security-starter

编写配置类，用于灵活控制服务是否允许绕过网关 @Data @ConfigurationProperties(prefix = "javadaily.cloud") public class CloudSecurityProperties { /** * 是否只能通过网关获取资源 * 默认为True */ private Boolean onlyFetchByGateway = Boolean.TRUE; } 编写拦截器，用于校验请求是否经过网关 public class ServerProtectInterceptor implements HandlerInterceptor { private CloudSecurityProperties properties; @Override public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){ if (!properties.getOnlyFetchByGateway()) { return true; } String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER); String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes())); if (StringUtils.equals(gatewayToken, token)) { return true; } else { ResultData<String> resultData = new ResultData<>(); resultData.setSuccess(false); resultData.setStatus(HttpServletResponse.SC_FORBIDDEN); resultData.setMessage("请通过网关访问资源"); WebUtils.writeJson(response,resultData); return false; } } public void setProperties(CloudSecurityProperties properties) { this.properties = properties; } } 配置拦截器 public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer { private CloudSecurityProperties properties; @Autowired public void setProperties(CloudSecurityProperties properties) { this.properties = properties; } @Bean public HandlerInterceptor serverProtectInterceptor() { ServerProtectInterceptor interceptor = new ServerProtectInterceptor(); interceptor.setProperties(properties); return interceptor; } @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(serverProtectInterceptor()); } } 编写starter装载类 @EnableConfigurationProperties(CloudSecurityProperties.class) public class CloudSecurityAutoConfigure{ @Bean public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() { return new CloudSecurityInterceptorConfigure(); } } 建立资源文件spring.factories，配置Bean的自动加载 org.springframework.boot.autoconfigure.EnableAutoConfiguration=\ com.javadaily.component.security.configure.CloudSecurityAutoConfigure

在后端服务配置文件中添加属性配置，默认只能通过网关访问

javadaily: cloud: onlyFetchByGateway: true

经过以上几步，一个公共的Starter模块就构建完成了。

后端服务引用此公共Starter模块即可，以account-service为例

<dependency> <groupId>com.jianzh5.cloud</groupId> <artifactId>cloud-component-security-starter</artifactId> </dependency>

实现效果

直接访问后端服务接口

http://localhost:8010/account/getByCode/jianzh5