1. 概述

1.1 插件名称

  • Sign插件

1.2 适用场景

  • 支持请求头进行鉴权
  • 支持请求体进行鉴权

1.3 插件功能

  • 用来对请求进行签名认证

1.4 插件代码

  • 核心模块: shenyu-plugin-sign

  • 核心类: org.apache.shenyu.plugin.sign.SignPlugin

1.5 添加自哪个shenyu版本

  • ShenYu 2.4.0

2. 如何使用插件

2.1 插件使用流程图

Sign插件 - 图1

2.2 导入pom

  • 在网关的 pom.xml 文件中添加 sign 的支持。
  1. <!-- apache shenyu sign plugin start-->
  2. <dependency>
  3.   <groupId>org.apache.shenyu</groupId>
  4.   <artifactId>shenyu-spring-boot-starter-plugin-sign</artifactId>
  5.   <version>${project.version}</version>
  6. </dependency>
  7. <!-- apache shenyu sign plugin end-->

2.3 启用插件

  • shenyu-admin 基础配置 —> 插件管理 —> sign ,设置为开启。

2.4 插件的鉴权配置

2.4.1 AK/SK配置

2.4.1.1 说明

  • 管理和控制经过 Apache ShenYu 网关的请求的权限。
  • 生成的 AK/SK ,配合 sign 插件使用,实现基于URI级别的精准权限管控。

2.4.1.2 使用教程

第一步,我们可以直接在 基础配置 —> 认证管理 新增一条认证信息 。

Sign插件 - 图2

第二步,配置这条认证信息 。

Sign插件 - 图3

  • 应用名称:这个账号关联的应用名称,可手动填写或下拉选择(数据来自元数据管理中配置的应用名称)。
  • 手机号:仅作为信息记录,在shenyu中无实际使用逻辑。
  • APP参数:当请求的context path与应用名称相同时,向header中添加该值,键为 appParam
  • 用户ID:给该用户取一个名字,仅作为信息记录,在shenyu中无实际使用逻辑。
  • 拓展信息:仅作为信息记录,在shenyu中无实际使用逻辑。
  • 路径认证:开启后,该账号仅允许访问以下配置的资源路径。
  • 资源路径:允许访问的资源路径,支持路径匹配,如 /order/**

点击确认后,生成一条认证信息,该信息包含 AppKey加密秘钥 ,即 Sign 插件中的 AK/SK

2.4.1.3 路径操作

对已创建的认证信息,可以在认证信息列表的末尾进行 路径操作

Sign插件 - 图4

  • 左侧为可配置的路径列表,右侧为允许该账号访问的路径列表 。
  • 勾选资源路径,点击中间的 >< 将勾选的数据移动到对应列表中 。
  • 左侧可配置路径列表可在账号信息行末尾点击 编辑,在弹框中的 资源路径 中进行添加 。

2.4.2 网关技术实现

  • 采用 AK/SK 鉴权技术方案。
  • 采用鉴权插件,责任链的模式来完成。
  • 当鉴权插件开启,并配置所有接口鉴权时候生效。

2.4.3 鉴权使用指南

  • 第一步:AK/SK由网关来进行分配,比如分配给你的AK为: 1TEST123456781 SK为:506EEB535CF740D7A755CB4B9F4A1536

  • 第二步:确定好你要访问的网关路径 比如 /api/service/abc

  • 第三步:构造参数(以下是通用参数)

字段描述
timestamp当前时间戳(String类型)当前时间的毫秒数(网关会过滤掉5分钟之前的请求)
path/api/service/abc就是你需要访问的接口路径(根据你访问网关接口自己变更)
version1.0.0目前定为1.0.0 写死,String类型

对上述3个字段进行 key 的自然排序,然后进行字段与字段值拼接最后再拼接上 SK ,代码示例。

2.4.3.1 无请求体的签名参数验证

第一步:首先构造一个 Map

  1. Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
  2. //timestamp为毫秒数的字符串形式 String.valueOf(LocalDateTime.now().toInstant(ZoneOffset.of("+8")).toEpochMilli())
  3. map.put("timestamp","1571711067186");  //值应该为毫秒数的字符串形式
  4. map.put("path", "/api/service/abc");
  5. map.put("version", "1.0.0");

第二步:进行 Key 的自然排序,然后 KeyValue值拼接最后再拼接分配给你的 SK

  1. List<String> storedKeys = Arrays.stream(map.keySet()
  2.                 .toArray(new String[]{}))
  3.                 .sorted(Comparator.naturalOrder())
  4.                 .collect(Collectors.toList());
  5. final String sign = storedKeys.stream()
  6.                 .map(key -> String.join("", key, params.get(key)))
  7.                 .collect(Collectors.joining()).trim()
  8.                 .concat("506EEB535CF740D7A755CB4B9F4A1536");
  • 你得到的 sign 值应该为:path/api/service/abctimestamp1571711067186version1.0.0506EEB535CF740D7A755CB4B9F4A1536

第三步:进行 MD5 加密后转成大写。

  1. DigestUtils.md5DigestAsHex(sign.getBytes()).toUpperCase()
  • 最后得到的值为:A021BF82BE342668B78CD9ADE593D683

2.4.3.2 有请求体,请求头的签名参数验证

第一步: 首先构造一个 Map 。并且该map必须存储请求体的每个节点信息

  3.    Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
  4.    //timestamp is string format of millisecond. String.valueOf(LocalDateTime.now().toInstant(ZoneOffset.of("+8")).toEpochMilli())
  5.    map.put("timestamp","1660659201000");  // Value should be string format of milliseconds
  6.    map.put("path", "/http/order/save");
  7.    map.put("version", "1.0.0");
  8.    // if your request body is:{"id":123,"name":"order"}
  9.    map.put("id", "1");
  10.    map.put("name", "order")

第二步:进行 Key 的自然排序,然后 KeyValue值拼接最后再拼接分配给你的 SK

  1. List<String> storedKeys = Arrays.stream(map.keySet()
  2.                 .toArray(new String[]{}))
  3.                 .sorted(Comparator.naturalOrder())
  4.                 .collect(Collectors.toList());
  5. final String sign = storedKeys.stream()
  6.                 .map(key -> String.join("", key, params.get(key)))
  7.                 .collect(Collectors.joining()).trim()
  8.                 .concat("2D47C325AE5B4A4C926C23FD4395C719");
  • 你得到的 sign 值应该为:id123nameorderpath/http/order/savetimestamp1660659201000version1.0.02D47C325AE5B4A4C926C23FD4395C719

第三步:进行 MD5 加密后转成大写。

  1. DigestUtils.md5DigestAsHex(sign.getBytes()).toUpperCase()
  • 最后得到的值为: 35FE61C21F73E9AAFC46954C14F299D7.

2.4.4 请求网关

  • 假如你访问的路径为:/api/service/abc

  • 访问地址 :http:网关的域名/api/service/abc

  • 设置header头,header头参数为:

字段描述
timestamp1571711067186上述你进行签名的时候使用的时间值
appKey1TEST123456781分配给你的AK值
signA90E66763793BDBC817CF3B52AAAC041上述得到的签名值
version1.0.0写死,就为这个值

  • 签名插件会默认过滤 5 分钟之前的请求

  • 如果认证不通过会返回 code401message 可能会有变动。

  1. {
  2.   "code": 401,
  3.   "message": "sign is not pass,Please check you sign algorithm!",
  4.   "data": null
  5. }

2.4.5 插件配置

Sign插件 - 图5

2.4.6 选择器配置

Sign插件 - 图6

  • 只有匹配的请求,才会进行签名认证。

  • 插件选择器和规则的配置请查看: 插件和规则配置.

2.4.7 规则配置

Sign插件 - 图7

  • close(signRequestBody): 仅使用请求头生成签名
  • open(signRequestBody): 使用请求头、请求体共同生成签名

2.5 示例

2.5.1 使用sign插件进行签名验证

2.5.1.1 插件配置

Sign插件 - 图8

2.5.1.2 选择器配置

Sign插件 - 图9

2.5.1.3 规则配置

Sign插件 - 图10

2.5.1.5 添加AppKey/SecretKey

Sign插件 - 图11

2.5.1.6 Request Service and check result

  • 构造请求参数,请查看Authentication Guide目录,
  1. public class Test1 {
  2.   public static void main(String[] args) {
  3.     Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
  4.     //timestamp为毫秒数的字符串形式 String.valueOf(LocalDateTime.now().toInstant(ZoneOffset.of("+8")).toEpochMilli())
  5.     map.put("timestamp","1660658725000");  //值应该为毫秒数的字符串形式
  6.     map.put("path", "/http/order/save");
  7.     map.put("version", "1.0.0");
  10.     List<String> storedKeys = Arrays.stream(map.keySet()
  11.                     .toArray(new String[]{}))
  12.             .sorted(Comparator.naturalOrder())
  13.             .collect(Collectors.toList());
  14.     final String sign = storedKeys.stream()
  15.             .map(key -> String.join("", key, map.get(key)))
  16.             .collect(Collectors.joining()).trim()
  17.             .concat("2D47C325AE5B4A4C926C23FD4395C719");
  18.     System.out.println(sign);
  21.     System.out.println(DigestUtils.md5DigestAsHex(sign.getBytes()).toUpperCase());
  22.   }
  23. }
  • 无请求体签名: path/http/order/savetimestamp1571711067186version1.0.02D47C325AE5B4A4C926C23FD4395C719
  • 无请求体签名结果: 9696D3E549A6AEBE763CCC2C7952DDC1

Sign插件 - 图12

  1. public class Test2 {
  2.   public static void main(String[] args) {
  3.     Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
  4.     //timestamp为毫秒数的字符串形式 String.valueOf(LocalDateTime.now().toInstant(ZoneOffset.of("+8")).toEpochMilli())
  5.     map.put("timestamp","1660659201000");  //值应该为毫秒数的字符串形式
  6.     map.put("path", "/http/order/save");
  7.     map.put("version", "1.0.0");
  8.     map.put("id", "123");
  9.     map.put("name", "order");
  12.     List<String> storedKeys = Arrays.stream(map.keySet()
  13.                     .toArray(new String[]{}))
  14.             .sorted(Comparator.naturalOrder())
  15.             .collect(Collectors.toList());
  16.     final String sign = storedKeys.stream()
  17.             .map(key -> String.join("", key, map.get(key)))
  18.             .collect(Collectors.joining()).trim()
  19.             .concat("2D47C325AE5B4A4C926C23FD4395C719");
  20.     System.out.println(sign);
  23.     System.out.println(DigestUtils.md5DigestAsHex(sign.getBytes()).toUpperCase());
  24.   }
  25. }
  • 有请求体签名为:id123nameorderpath/http/order/savetimestamp1660659201000version1.0.02D47C325AE5B4A4C926C23FD4395C719
  • 附带请求体签名结果:35FE61C21F73E9AAFC46954C14F299D7

Sign插件 - 图13

3. 如何禁用插件

  • shenyu-admin 基础配置 —> 插件管理 —> sign ,设置为关闭。

4. 签名认证算法扩展