在業務開發的時候����,經常會遇到某一個接口不能對外暴露��,只能內網服務間調用的實際需求。面對這樣的情況�,我們該如何實現呢���?今天���,我們就來理一理這個問題���,從幾個可行的方案中����,挑選一個來實現�����。u3128資訊網——每日最新資訊28at.com
1. 內外網接口微服務隔離
將對外暴露的接口和對內暴露的接口分別放到兩個微服務上,一個服務里所有的接口均對外暴露,另一個服務的接口只能內網服務間調用��。u3128資訊網——每日最新資訊28at.com
該方案需要額外編寫一個只對內部暴露接口的微服務���,將所有只能對內暴露的業務接口聚合到這個微服務里���,通過這個聚合的微服務��,分別去各個業務側獲取資源�����。u3128資訊網——每日最新資訊28at.com
該方案,新增一個微服務做請求轉發,增加了系統的復雜性�,增大了調用耗時以及后期的維護成本�����。u3128資訊網——每日最新資訊28at.com
2. 網關 + redis 實現白名單機制
在 redis 里維護一套接口白名單列表���,外部請求到達網關時���,從 redis 獲取接口白名單���,在白名單內的接口放行���,反之拒絕掉���。u3128資訊網——每日最新資訊28at.com
該方案的好處是,對業務代碼零侵入,只需要維護好白名單列表即可;u3128資訊網——每日最新資訊28at.com
不足之處在于�����,白名單的維護是一個持續性投入的工作���,在很多公司����,業務開發無法直接觸及到 redis,只能提工單申請�,增加了開發成本�����;另外,每次請求進來�,都需要判斷白名單����,增加了系統響應耗時���,考慮到正常情況下外部進來的請求大部分都是在白名單內的�����,只有極少數惡意請求才會被白名單機制所攔截��,所以該方案的性價比很低。u3128資訊網——每日最新資訊28at.com
3. 方案三 網關 + AOP
相比于方案二對接口進行白名單判斷而言,方案三是對請求來源進行判斷��,并將該判斷下沉到業務側�����。避免了網關側的邏輯判斷,從而提升系統響應速度��。u3128資訊網——每日最新資訊28at.com
我們知道�����,外部進來的請求一定會經過網關再被分發到具體的業務側�,內部服務間的調用是不用走外部網關的(走 k8s 的 service)����。u3128資訊網——每日最新資訊28at.com
根據這個特點,我們可以對所有經過網關的請求的header里添加一個字段����,業務側接口收到請求后��,判斷header里是否有該字段,如果有���,則說明該請求來自外部,沒有����,則屬于內部服務的調用����,再根據該接口是否屬于內部接口來決定是否放行該請求。u3128資訊網——每日最新資訊28at.com
該方案將內外網訪問權限的處理分布到各個業務側進行�,消除了由網關來處理的系統性瓶頸����;同時�,開發者可以在業務側直接確定接口的內外網訪問權限,提升開發效率的同時���,增加了代碼的可讀性����。u3128資訊網——每日最新資訊28at.com
當然該方案會對業務代碼有一定的侵入性,不過可以通過注解的形式���,最大限度的降低這種侵入性。u3128資訊網——每日最新資訊28at.com
圖片u3128資訊網——每日最新資訊28at.com
u3128資訊網——每日最新資訊28at.com
具體實操
下面就方案三��,進行具體的代碼演示����。首先在網關側,需要對進來的請求header添加外網標識符: from=public����。@Componentpublic class AuthFilter implements GlobalFilter, Ordered { @Override public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) { return chain.filter( exchange.mutate().request( exchange.getRequest().mutate().header('id', '').header('from', 'public').build()) .build() )���; } @Override public int getOrder () { return 0; } }
接著�����,編寫內外網訪問權限判斷的AOP和注解。u3128資訊網——每日最新資訊28at.com
@Aspect@Component@Slf4jpublic class OnlyIntranetAccessAspect { @Pointcut ( '@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)' ) public void onlyIntranetAccessOnClass () {} @Pointcut ( '@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)' ) public void onlyIntranetAccessOnMethed () { } @Before ( value = 'onlyIntranetAccessOnMethed() || onlyIntranetAccessOnClass()' ) public void before () { HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest (); String from = hsr.getHeader ( 'from' ); if ( !StringUtils.isEmpty( from ) && 'public'.equals ( from )) { log.error ( 'This api is only allowed invoked by intranet source' ); throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR); } } }@Target({ElementType.METHOD})@Retention(RetentionPolicy.RUNTIME)@Documentedpublic @interface OnlyIntranetAccess {}
最后�,在只能內網訪問的接口上加上@OnlyIntranetAccess注解即可u3128資訊網——每日最新資訊28at.com
@GetMapping ( '/role/add' )@OnlyIntranetAccesspublic String onlyIntranetAccess() { return '該接口只允許內部服務調用';}
4. 網關路徑匹配在DailyMart項目中我采用的是第四種:即在網關中進行路徑匹配�����。該方案中我們將內網訪問的接口全部以前綴/pv開頭,然后在網關過濾器中根據路徑找到具體校驗器���,如果是/pv訪問的路徑則直接提示禁止外部訪問。使用網關路徑匹配方案不僅可以應對內網接口的問題����,還可以擴展到其他校驗機制上����。譬如��,有的接口需要通過access_token進行校驗,有的接口需要校驗api_key 和 api_secret,為了應對這種不同的校驗場景�����,只需要再實現一個校驗類即可���,由不同的子類實現不同的校驗邏輯��,擴展非常方便�����。
圖片u3128資訊網——每日最新資訊28at.com
u3128資訊網——每日最新資訊28at.com
本文鏈接:http://www.www897cc.com/showinfo-26-99643-0.html微服務開發時,接口不能對外暴露怎么辦�����?
聲明:本網頁內容旨在傳播知識���,若有侵權等問題請及時與本網聯系�����,我們將在第一時間刪除處理���。郵件:2376512515@qq.com
上一篇: 三款C#開源且實用的工具類庫���,工作效率提升利器�!
下一篇: 我們聊聊如何分析Rust進程使用了多少內存��?
津公網安備 12010102000574號