前言

使用SpringCloud架构后我们希望所有的请求都需要经过网关才能访问，在不作任何处理的情况下我们是可以绕过网关直接访问后端服务的。如下，我们绕过网关直接访问后端服务也是可以获取到数据的。

那我们今天的议题就是 如何防止请求绕过网关直接访问后端服务？

解决方案

我觉得防止绕过网关直接请求后端服务的解决方案主要有三种：

• 使用Kubernetes部署

  在使用Kubernetes部署SpringCloud架构时我们给网关的Service配置NodePort，其他后端服务的Service使用ClusterIp，这样在集群外就只能访问到网关了。

• 网络隔离

  后端普通服务都部署在内网，通过防火墙策略限制只允许网关应用访问后端服务。

• 应用层拦截

  请求后端服务时通过拦截器校验请求是否来自网关，如果不来自网关则提示不允许访问。

这里我们着重关注在应用层拦截这种解决方案。

实现思路

实现思路其实也很简单，在请求经过网关的时候给请求头中增加一个额外的Header，在后端服务中写一个拦截器&