当前位置: 首页 > news >正文

【Nacos-安全与限流机制健全06 】

news 来源:原创 2025/4/28 17:30:43

文章目录

  • Nacos安全机制介绍
  • Nacos代码实现
  • Nacos限流机制
  • Nacos限流的代码实现

Nacos安全机制介绍

一、Nacos安全控制机制
Nacos 提供了多种安全控制机制,以保证服务和配置的访问安全:

  1. 身份验证 (Authentication)
    Nacos 支持用户身份验证来防止未授权的访问。其实现方式如下:
    Basic Authentication:通过 HTTP 请求头传递用户的认证信息(如 Authorization),Nacos 会校验用户名和密码。
    OAuth2 / Token 认证:除了基本的用户名密码认证外,Nacos 也可以配置 OAuth2 认证机制,允许使用第三方认证系统(例如 LDAP 或自定义身份验证服务)。

  2. 权限控制 (Authorization)
    在身份验证的基础上,Nacos 提供了基于角色的权限控制:
    资源授权:通过注解的方式对 API 接口进行权限控制,例如使用 @Secured 注解标记需要权限验证的接口。每个接口可以指定具体的权限(如读、写、删除等)。
    角色分配:用户可以被分配不同的角色,角色对应不同的权限,例如,管理员拥有所有权限,普通用户仅能访问部分资源。

Nacos代码实现

权限的核心注解类

@Retention(RetentionPolicy.RUNTIME)
public @interface Secured {/***  READ,WRITE,DELETE,UPDATE;默认读权限*/ActionTypes action() default ActionTypes.READ;/**定义与请求相关的资源名称。资源名称用于标识请求操作的是哪一类资源(例如:配置、服务等)。默认为空字符串,但你可以指定具体的资源名称。*/String resource() default StringUtils.EMPTY;/**表示请求使用的签名类型。默认为 SignType.NAMING。SignType 可能是一个枚举,表示不同的签名机制,例如 NAMING、HASH、API_KEY 等。*/String signType() default SignType.NAMING;/**允许使用自定义的资源解析器类来解析资源。默认为 DefaultResourceParser.class,但你可以指定自定义的类来实现 ResourceParser,定制资源的解析方式。*/Class<? extends ResourceParser> parser() default DefaultResourceParser.class;/**允许为资源指定额外的标签,这些标签会作为键值对注入到 Resource 对象中,用于细化资源的授权控制。标签是以字符串形式传递的,可以用于更精细的权限控制。*/String[] tags() default {};

servlet过滤器,在我们的请求进来时,我们判断当前的请求是否还有@Secured

public class AuthFilter implements Filter {private final AuthConfigs authConfigs;private final ControllerMethodsCache methodsCache;private final HttpProtocolAuthService protocolAuthService;public AuthFilter(AuthConfigs authConfigs, ControllerMethodsCache methodsCache) {this.authConfigs = authConfigs;this.methodsCache = methodsCache;this.protocolAuthService = new HttpProtocolAuthService(authConfigs);this.protocolAuthService.initialize();}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {//未启用权限验证if (!authConfigs.isAuthEnabled()) {chain.doFilter(request, response);return;}HttpServletRequest req = (HttpServletRequest) request;HttpServletResponse resp = (HttpServletResponse) response;//. 支持 user-agent 白名单跳过鉴权if (authConfigs.isEnableUserAgentAuthWhite()) {String userAgent = WebUtils.getUserAgent(req);if (StringUtils.startsWith(userAgent, Constants.NACOS_SERVER_HEADER)) {chain.doFilter(request, response);return;}//服务身份头鉴权(用于集群内部通信)} else if (StringUtils.isNotBlank(authConfigs.getServerIdentityKey()) && StringUtils.isNotBlank(authConfigs.getServerIdentityValue())) {String serverIdentity = req.getHeader(authConfigs.getServerIdentityKey());if (StringUtils.isNotBlank(serverIdentity)) {if (authConfigs.getServerIdentityValue().equals(serverIdentity)) {chain.doFilter(request, response);return;}Loggers.AUTH.warn("Invalid server identity value for {} from {}", authConfigs.getServerIdentityKey(),req.getRemoteHost());}} else {resp.sendError(HttpServletResponse.SC_FORBIDDEN,"Invalid server identity key or value, Please make sure set `nacos.core.auth.server.identity.key`"+ " and `nacos.core.auth.server.identity.value`, or open `nacos.core.auth.enable.userAgentAuthWhite`");return;}try {//获取请求的方法Method method = methodsCache.getMethod(req);//方法为空,直接结束,继续进行下面的校验if (method == null) {chain.doFilter(request, response);return;}// 判断当前注解是否开启if (method.isAnnotationPresent(Secured.class) && authConfigs.isAuthEnabled()) {if (Loggers.AUTH.isDebugEnabled()) {Loggers.AUTH.debug("auth start, request: {} {}", req.getMethod(), req.getRequestURI());}Secured secured = method.getAnnotation(Secured.class);if (!protocolAuthService.enableAuth(secured)) {chain.doFilter(request, response);return;}Resource resource = protocolAuthService.parseResource(req, secured);//解析资源IdentityContext identityContext = protocolAuthService.parseIdentity(req);//解析身份boolean result = protocolAuthService.validateIdentity(identityContext, resource);//校验身份和权限//校验失败抛出异常if (!result) {// TODO Get reason of failurethrow new AccessException("Validate Identity failed.");}injectIdentityId(req, identityContext);String action = secured.action().toString();result = protocolAuthService.validateAuthority(identityContext, new Permission(resource, action));if (!result) {// TODO Get reason of failurethrow new AccessException("Validate Authority failed.");}}chain.doFilter(request, response);} catch (AccessException e) {if (Loggers.AUTH.isDebugEnabled()) {Loggers.AUTH.debug("access denied, request: {} {}, reason: {}", req.getMethod(), req.getRequestURI(),e.getErrMsg());}resp.sendError(HttpServletResponse.SC_FORBIDDEN, e.getErrMsg());} catch (IllegalArgumentException e) {resp.sendError(HttpServletResponse.SC_BAD_REQUEST, ExceptionUtil.getAllExceptionMsg(e));} catch (Exception e) {Loggers.AUTH.warn("[AUTH-FILTER] Server failed: ", e);resp.sendError(HttpServletResponse.SC_INTERNAL_SERVER_ERROR, "Server failed, " + e.getMessage());}}

注册我们的过滤器

@Configuration
public class AuthConfig {@Beanpublic FilterRegistrationBean<AuthFilter> authFilterRegistration(AuthFilter authFilter) {FilterRegistrationBean<AuthFilter> registration = new FilterRegistrationBean<>();registration.setFilter(authFilter);//注册权限过滤器registration.addUrlPatterns("/*");//任何的接口都允许registration.setName("authFilter");//设置名称registration.setOrder(6);//设置优先级return registration;}@Beanpublic AuthFilter authFilter(AuthConfigs authConfigs, ControllerMethodsCache methodsCache) {return new AuthFilter(authConfigs, methodsCache);}
}

Nacos限流机制

Nacos 在流量控制和限流方面,提供了以下机制来保护系统免受超载:

  1. 请求限流 (TpsControl)
    TpsControl 注解:通过 @TpsControl 注解,可以对某个方法进行限流,控制每秒钟请求的数量(TPS)。这对于防止 Nacos 服务受到过多请求而导致性能下降非常重要。
@TpsControl(pointName = "nacosConfigRequest", limit = 100)
public Response handleConfigRequest(Request request) {// 限流请求,限制每秒最多100个请求
}

TpsControlManager:负责管理所有限流点的状态和配置,可以动态修改每个点的 TPS 限制。
通过使用 TpsControl,可以保证 Nacos 服务在流量高峰期间不会因为流量过大而导致崩溃或服务不可用。
2. 请求重试与超时控制
请求重试机制:Nacos 内部有一套请求重试机制,允许在网络出现故障时进行重试。请求会根据一定的规则进行重试,避免出现单点故障导致系统不可用。
请求超时控制:对于某些请求,Nacos 会设置超时时间,防止长时间没有响应的请求占用系统资源。
3. 长轮询控制
对于长轮询请求,Nacos 会控制每个客户端的最大并发请求数量,防止单个客户端占用过多资源而导致其他客户端的请求被延迟。
4. 动态限流(基于请求属性)
通过 请求属性(如请求路径、请求参数、客户端 IP 等)可以动态地进行流量限制。例如,可以针对某些 API 或某些高风险的操作(如配置更新、服务注册等)设置更严格的限流策略。

Nacos限流的代码实现

限流的注解实现

@Retention(RetentionPolicy.RUNTIME)
public @interface TpsControl {/*** 控制点的别名(可选)。* 主要是为了给控制点提供更人性化的名称,也可能用于日志或监控中展示。*/String name() default "";/*** 必填。真正用于限流控制的“控制点名称”。* 这是唯一标识某个接口或操作被限流管理的依据。*/String pointName();}

利用SpringMvc的拦截器拦哦判断限流规则

public class NacosHttpTpsControlInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {try {if (handler instanceof HandlerMethod) {Method method = ((HandlerMethod) handler).getMethod();if (method.isAnnotationPresent(TpsControl.class) && TpsControlConfig.isTpsControlEnabled()) {TpsControl tpsControl = method.getAnnotation(TpsControl.class);String pointName = tpsControl.pointName();HttpTpsCheckRequestParser parser = HttpTpsCheckRequestParserRegistry.getParser(pointName);TpsCheckRequest httpTpsCheckRequest = null;if (parser != null) {httpTpsCheckRequest = parser.parse(request);}if (httpTpsCheckRequest == null) {httpTpsCheckRequest = new TpsCheckRequest();}httpTpsCheckRequest.setPointName(pointName);TpsCheckResponse checkResponse = ControlManagerCenter.getInstance().getTpsControlManager().check(httpTpsCheckRequest);if (!checkResponse.isSuccess()) {generate503Response(request, response, checkResponse.getMessage());return false;}}}} catch (Throwable throwable) {Loggers.TPS.error("Error to check tps control", throwable);}return true;}void generate503Response(HttpServletRequest request, HttpServletResponse response, String message) {try {// Disable cache.response.setHeader("Pragma", "no-cache");response.setDateHeader("Expires", 0);response.setHeader("Cache-Control", "no-cache,no-store");response.setStatus(HttpServletResponse.SC_SERVICE_UNAVAILABLE);response.getWriter().println(message);} catch (Exception ex) {Loggers.TPS.error("Error to generate tps 503 response", ex);}}
}

Tps限流的规则

public class TpsControlRequestFilter extends AbstractRequestFilter {TpsControlManager tpsControlManager = ControlManagerCenter.getInstance().getTpsControlManager();@Overrideprotected Response filter(Request request, RequestMeta meta, Class handlerClazz) {Method method = null;try {//获取当钱的方法method = getHandleMethod(handlerClazz);} catch (NacosException e) {return null;}//如果当前的方法被注解TpsControl修饰,并且限流开关已经开启if (method.isAnnotationPresent(TpsControl.class) && TpsControlConfig.isTpsControlEnabled()) {try {//获取注解信息TpsControl tpsControl = method.getAnnotation(TpsControl.class);//获取自定义的限流名称String pointName = tpsControl.pointName();TpsCheckRequest tpsCheckRequest = null;//校验解析的名称String parseName = StringUtils.isBlank(tpsControl.name()) ? pointName : tpsControl.name();RemoteTpsCheckRequestParser parser = RemoteTpsCheckRequestParserRegistry.getParser(parseName);if (parser != null) {tpsCheckRequest = parser.parse(request, meta);}//判断tps检查请求是否为nullif (tpsCheckRequest == null) {tpsCheckRequest = new TpsCheckRequest();}tpsCheckRequest.setPointName(pointName);//核心点TpsCheckResponse check = tpsControlManager.check(tpsCheckRequest);//如果返回的结果为失败if (!check.isSuccess()) {Response response;try {response = super.getDefaultResponseInstance(handlerClazz);response.setErrorInfo(NacosException.OVER_THRESHOLD,"Tps Flow restricted:" + check.getMessage());return response;} catch (Exception e) {com.alibaba.nacos.plugin.control.Loggers.TPS.warn("Tps check fail , request: {},exception:{}", request.getClass().getSimpleName(),e);return null;}}} catch (Throwable throwable) {com.alibaba.nacos.plugin.control.Loggers.TPS.warn("Tps check exception , request: {},exception:{}", request.getClass().getSimpleName(),throwable);}}return null;}
}

检查当前的Tps

    public TpsCheckResponse check(TpsCheckRequest tpsRequest) {//判断point中是否包含当前方法的名称if (points.containsKey(tpsRequest.getPointName())) {try {//包含就直接回去,返回成功return points.get(tpsRequest.getPointName()).applyTps(tpsRequest);} catch (Throwable throwable) {Loggers.TPS.warn("[{}]apply tps error,error={}", tpsRequest.getPointName(), throwable);}}//不包含也直接返回成功的结果return new TpsCheckResponse(true, TpsResultCode.CHECK_SKIP, "skip");}public TpsCheckResponse applyTps(BarrierCheckRequest barrierCheckRequest) {//添加当前的请求的数量rateCounter.add(barrierCheckRequest.getTimestamp(), barrierCheckRequest.getCount());//返回正确的请求响应return new TpsCheckResponse(true, TpsResultCode.PASS_BY_POINT, "success");}//请求的滑动窗口算法public TpsSlot createSlotIfAbsent(long timeStamp) {//startTime 是滑动窗口的起始时间戳。//distance 是当前时间戳距离 startTime 的偏移。long distance = timeStamp - startTime;//如果时间戳早于 startTime(即 distance < 0),为了避免负数下标,先加上整个滑动窗口的周期总时长(例如 10秒 * 1000ms)。// 然后除以每个时间槽的周期(一般为 1000ms)以得到偏移槽位数。long diff = (distance < 0 ? distance + getPeriod().toMillis(1) * DEFAULT_RECORD_SIZE : distance) / getPeriod().toMillis(1);//当前时间戳应该属于哪个时间窗口(对齐到周期的时间点)。long currentWindowTime = startTime + diff * getPeriod().toMillis(1);//用偏移量对槽位数量取模,确定当前时间窗口的槽位 index。int index = (int) diff % DEFAULT_RECORD_SIZE;TpsSlot tpsSlot = slotList.get(index);//如果槽的时间不是当前窗口时间(说明槽是旧的),重置它。if (tpsSlot.time != currentWindowTime) {tpsSlot.reset(currentWindowTime);}//返回这个属于当前窗口的槽。return slotList.get(index);}//重置public void reset(long second) {synchronized (this) {if (this.time != second) {this.time = second;countHolder.count.set(0L);countHolder.interceptedCount.set(0);}}}

相关文章:

  • 存储新势力:助力DeepSeek一体机
  • 【专题刷题】二分查找(二)
  • 【Luogu】动态规划四
  • 2025时间序列都有哪些创新点可做——总结篇
  • 常用第三方库:flutter_boost混合开发
  • Shell脚本-while循环语法结构
  • MySQL数据库(13) 用户管理
  • kubernetes环境手动部署 Prometheus 监控系统安装文档
  • 差分优化效率
  • 研发内控新规下的合规之道:维拉工时助力企业穿越IPO审查雷区
  • 深入浅出 MVVM:理解现代前端开发的核心架构模式
  • 贪心算法~~
  • Sand AI 开源 MAGI-1 视频生成模型,近屿智能带你领略无限扩展的 AI 视界
  • 《深入理解计算机系统》阅读笔记之第二章 信息的表示和处理
  • Apipost免费版、企业版和私有化部署详解
  • 保安员证考试的理论知识有哪些重点?
  • 计算机基础 原码反码补码问题
  • 一篇速成Linux 设置位 S(SetUID)
  • kafka课后总结
  • 简述:变更调查的历史情况
  • 劳动最光荣!2426人受到表彰
  • 13家券商一季报出炉:超七成业绩预喜,财通、湘财、第一创业下滑
  • 公安部知识产权犯罪侦查局:侦破盗录传播春节档院线电影刑案25起
  • 北京画院上海“点画”:评论家展场一对一评点
  • 鸿蒙智行八大车型亮相上海车展,余承东拉上三家车企老总“直播推销”
  • 限制再放宽!新版市场准入负面清单缩减到106项