自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

AI.x社區(qū)

軟考社區(qū)

企業(yè)培訓

鴻蒙開發(fā)者社區(qū)

WOT技術大會

公眾號矩陣

移動端

視頻課免費課排行榜短視頻直播課軟考學堂

全部課程軟考華為認證廠商認證 IT技術 PMP項目管理免費題庫

文章資源問答課堂專欄直播

51CTO

鴻蒙開發(fā)者社區(qū)

51CTO技術棧

51CTO官微

51CTO學堂

51CTO博客

CTO訓練營

鴻蒙開發(fā)者社區(qū)訂閱號

51CTO軟考

51CTO學堂APP

51CTO學堂企業(yè)版APP

鴻蒙開發(fā)者社區(qū)視頻號

51CTO軟考題庫

賬號設置退出

微服務開發(fā)時，接口不能對外暴露怎么辦？

作者：飄渺Jam 2024-07-08 11:30:35

開發(fā) 前端

在 redis 里維護一套接口白名單列表，外部請求到達網(wǎng)關時，從 redis 獲取接口白名單，在白名單內(nèi)的接口放行，反之拒絕掉。

在業(yè)務開發(fā)的時候，經(jīng)常會遇到某一個接口不能對外暴露，只能內(nèi)網(wǎng)服務間調(diào)用的實際需求。面對這樣的情況，我們該如何實現(xiàn)呢？今天，我們就來理一理這個問題，從幾個可行的方案中，挑選一個來實現(xiàn)。

1. 內(nèi)外網(wǎng)接口微服務隔離

將對外暴露的接口和對內(nèi)暴露的接口分別放到兩個微服務上，一個服務里所有的接口均對外暴露，另一個服務的接口只能內(nèi)網(wǎng)服務間調(diào)用。

該方案需要額外編寫一個只對內(nèi)部暴露接口的微服務，將所有只能對內(nèi)暴露的業(yè)務接口聚合到這個微服務里，通過這個聚合的微服務，分別去各個業(yè)務側獲取資源。

該方案，新增一個微服務做請求轉(zhuǎn)發(fā)，增加了系統(tǒng)的復雜性，增大了調(diào)用耗時以及后期的維護成本。

2. 網(wǎng)關 + redis 實現(xiàn)白名單機制

在 redis 里維護一套接口白名單列表，外部請求到達網(wǎng)關時，從 redis 獲取接口白名單，在白名單內(nèi)的接口放行，反之拒絕掉。

該方案的好處是，對業(yè)務代碼零侵入，只需要維護好白名單列表即可；

不足之處在于，白名單的維護是一個持續(xù)性投入的工作，在很多公司，業(yè)務開發(fā)無法直接觸及到 redis，只能提工單申請，增加了開發(fā)成本；另外，每次請求進來，都需要判斷白名單，增加了系統(tǒng)響應耗時，考慮到正常情況下外部進來的請求大部分都是在白名單內(nèi)的，只有極少數(shù)惡意請求才會被白名單機制所攔截，所以該方案的性價比很低。

3. 方案三網(wǎng)關 + AOP

相比于方案二對接口進行白名單判斷而言，方案三是對請求來源進行判斷，并將該判斷下沉到業(yè)務側。避免了網(wǎng)關側的邏輯判斷，從而提升系統(tǒng)響應速度。

我們知道，外部進來的請求一定會經(jīng)過網(wǎng)關再被分發(fā)到具體的業(yè)務側，內(nèi)部服務間的調(diào)用是不用走外部網(wǎng)關的（走 k8s 的 service）。

根據(jù)這個特點，我們可以對所有經(jīng)過網(wǎng)關的請求的header里添加一個字段，業(yè)務側接口收到請求后，判斷header里是否有該字段，如果有，則說明該請求來自外部，沒有，則屬于內(nèi)部服務的調(diào)用，再根據(jù)該接口是否屬于內(nèi)部接口來決定是否放行該請求。

該方案將內(nèi)外網(wǎng)訪問權限的處理分布到各個業(yè)務側進行，消除了由網(wǎng)關來處理的系統(tǒng)性瓶頸；同時，開發(fā)者可以在業(yè)務側直接確定接口的內(nèi)外網(wǎng)訪問權限，提升開發(fā)效率的同時，增加了代碼的可讀性。

當然該方案會對業(yè)務代碼有一定的侵入性，不過可以通過注解的形式，最大限度的降低這種侵入性。

圖片

具體實操

下面就方案三，進行具體的代碼演示。首先在網(wǎng)關側，需要對進來的請求header添加外網(wǎng)標識符: from=public。

@Component
public class AuthFilter implements GlobalFilter, Ordered {
    @Override
    public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
         return chain.filter(
         exchange.mutate().request(
         exchange.getRequest().mutate().header('id', '').header('from', 'public').build())
         .build()
         )；
    }

    @Override
    public int getOrder () {
        return 0;
    }
 }

接著，編寫內(nèi)外網(wǎng)訪問權限判斷的AOP和注解。

@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect {
 @Pointcut ( '@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)' )
 public void onlyIntranetAccessOnClass () {}
 @Pointcut ( '@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)' )
 public void onlyIntranetAccessOnMethed () {
 }

 @Before ( value = 'onlyIntranetAccessOnMethed() || onlyIntranetAccessOnClass()' )
 public void before () {
     HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
     String from = hsr.getHeader ( 'from' );
     if ( !StringUtils.isEmpty( from ) && 'public'.equals ( from )) {
        log.error ( 'This api is only allowed invoked by intranet source' );
        throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
            }
     }
 }

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface OnlyIntranetAccess {
}

最后，在只能內(nèi)網(wǎng)訪問的接口上加上@OnlyIntranetAccess注解即可

@GetMapping ( '/role/add' )
@OnlyIntranetAccess
public String onlyIntranetAccess() {
    return '該接口只允許內(nèi)部服務調(diào)用';
}

4. 網(wǎng)關路徑匹配
在DailyMart項目中我采用的是第四種：即在網(wǎng)關中進行路徑匹配。
該方案中我們將內(nèi)網(wǎng)訪問的接口全部以前綴/pv開頭，然后在網(wǎng)關過濾器中根據(jù)路徑找到具體校驗器，如果是/pv訪問的路徑則直接提示禁止外部訪問。

使用網(wǎng)關路徑匹配方案不僅可以應對內(nèi)網(wǎng)接口的問題，還可以擴展到其他校驗機制上。譬如，有的接口需要通過access_token進行校驗，有的接口需要校驗api_key 和 api_secret，為了應對這種不同的校驗場景，只需要再實現(xiàn)一個校驗類即可，由不同的子類實現(xiàn)不同的校驗邏輯，擴展非常方便。

圖片

責任編輯：武曉燕來源： JAVA日知錄

微服務接口暴露

51CTO技術棧公眾號

業(yè)務
速覽

媒體

51CTO CIOAge HC3i

社區(qū)

51CTO博客鴻蒙開發(fā)者社區(qū) AI.x社區(qū)

教育

51CTO學堂精培企業(yè)培訓 CTO訓練營

<legend id="wusl0"><track id="wusl0"><dfn id="wusl0"></dfn></track></legend>