统一鉴权

统一鉴权

内置的过滤器已经可以完成大部分的功能，但是对于企业开发的一些业务功能处理，还是需要我们自己编写过滤器来实现的，那么我们一起通过代码的形式自定义一个过滤器，去完成统一的权限校验。

鉴权逻辑

开发中的鉴权逻辑：

　　当客户端第一次请求服务时，服务端对用户进行信息认证（登录）

　　认证通过，将用户信息进行加密形成token，返回给客户端，作为登录凭证

　　以后每次请求，客户端都携带认证的token

　　服务端对token进行解密，判断是否有效。

如上图，对于验证用户是否已经登录鉴权的过程可以在网关层统一检验。检验的标准就是请求中是否携带token凭证以及token的正确性。 

代码实现

下面的我们自定义一个GlobalFilter，去校验所有请求的请求参数中是否包含“token”，如何不包含请求参数“token”则不转发路由，否则执行正常的逻辑。

@Component
public class AuthorizeFilter implements GlobalFilter, Ordered {
  @Override
  public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain
chain) {
      //String url = exchange.getRequest().getURI().getPath();
      //忽略以下url请求
      //if(url.indexOf("/login") >= 0){
      //  return chain.filter(exchange);
     // }
      String token = exchange.getRequest().getQueryParams().getFirst("token");
      if (StringUtils.isBlank(token)) {
          log.info( "token is empty ..." );
          exchange.getResponse().setStatusCode( HttpStatus.UNAUTHORIZED );
          return exchange.getResponse().setComplete();
      }
      return chain.filter(exchange);
  }
  @Override
  public int getOrder() {
      return 0;
  }
}

自定义全局过滤器需要实现GlobalFilter和Ordered接口。

在fifilter方法中完成过滤器的逻辑判断处理

在getOrder方法指定此过滤器的优先级，返回值越大级别越低

ServerWebExchange 就相当于当前请求和响应的上下文，存放着重要的请求-响应属性、请求实例和响应实例等等。一个请求中的request，response都可以通过 ServerWebExchange 获取

调用 chain.filter 继续向下游执行