我目前正在开发一个项目,其中每个微服务都有自己的 tls 证书。
我正在考虑使用spring gateway来解决像csrf这样的交叉问题(使用双重提交模式)。
我希望网关在代理到微服务之前验证 csrf,并在微服务的每个响应之后创建一个新的 csrf 值,并改变响应以包含新的 csrf 值。
由于每个微服务(网关代理到)都有自己的 tls 证书,是否可以在将请求发送到微服务之前和之后读取和改变请求?
如果网关没有读取请求的证书,我想我对网关的工作方式有点困惑。
最佳答案
网关将建立它自己的 tls 连接。之后,网关将应用它的过滤器,然后代理到建立另一个 tls 连接的微服务。在这个场景中,我们将有 2 个不同的 tls 连接(从客户端浏览器到网关,从网关到服务)。
在我的 senario 中,我有带有自签名证书的微服务。网关设置需要包含每个服务的公钥以建立 tls 连接(因为它无法验证来自证书颁发机构的证书)。 Spring 网关允许我们在应用程序属性文件中执行此操作
spring:
cloud:
gateway:
httpclient:
ssl:
trustedX509Certificates:
- cert1.pem
- cert2.pem
关于关于反向代理到 TLS 微服务的 Spring Gateway 问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67793411/