Spring Cloud Gateway的认证授权之道

import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.io.buffer.DataBufferUtils;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;
 
public class AuthorizationFilter implements GlobalFilter {
 
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 从请求中获取认证信息
        String authHeader = exchange.getRequest().getHeaders().getFirst("Authorization");
 
        // 如果没有认证信息，返回401 Unauthorized
        if (authHeader == null || !isValidAuthentication(authHeader)) {
            ServerHttpResponse response = exchange.getResponse();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            // 可以返回更多的错误信息，比如使用DataBufferUtils.write()
            return DataBufferUtils.write(response.bufferFactory().wrap("Invalid or missing Authorization header".getBytes()), response.getBufferFactory());
        }
 
        // 如果认证信息有效，继续请求处理
        return chain.filter(exchange);
    }
 
    // 这里只是示例，实际应该是调用认证服务来验证authHeader是否有效
    private boolean isValidAuthentication(String authHeader) {
        // 假设如果包含"valid-authentication"字符串就是有效的认证信息
        return authHeader.contains("valid-authentication");
    }
}

这段代码定义了一个简单的AuthorizationFilter，用于检查请求是否包含有效的认证信息。如果请求包含了认证信息，并且认证信息有效，则请求会被继续处理；如果请求没有认证信息或者认证信息无效，则会返回401 Unauthorized响应。这个简单的例子展示了如何在Spring Cloud Gateway中实现基本的认证授权逻辑。