偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

微服務(wù)開發(fā)時,接口不能對外暴露怎么辦?

作者:飄渺Jam
開發(fā) 前端
在 redis 里維護(hù)一套接口白名單列表,外部請求到達(dá)網(wǎng)關(guān)時,從 redis 獲取接口白名單,在白名單內(nèi)的接口放行,反之拒絕掉。

在業(yè)務(wù)開發(fā)的時候,經(jīng)常會遇到某一個接口不能對外暴露,只能內(nèi)網(wǎng)服務(wù)間調(diào)用的實際需求。面對這樣的情況,我們該如何實現(xiàn)呢?今天,我們就來理一理這個問題,從幾個可行的方案中,挑選一個來實現(xiàn)。

1. 內(nèi)外網(wǎng)接口微服務(wù)隔離

將對外暴露的接口和對內(nèi)暴露的接口分別放到兩個微服務(wù)上,一個服務(wù)里所有的接口均對外暴露,另一個服務(wù)的接口只能內(nèi)網(wǎng)服務(wù)間調(diào)用。

該方案需要額外編寫一個只對內(nèi)部暴露接口的微服務(wù),將所有只能對內(nèi)暴露的業(yè)務(wù)接口聚合到這個微服務(wù)里,通過這個聚合的微服務(wù),分別去各個業(yè)務(wù)側(cè)獲取資源。

該方案,新增一個微服務(wù)做請求轉(zhuǎn)發(fā),增加了系統(tǒng)的復(fù)雜性,增大了調(diào)用耗時以及后期的維護(hù)成本。

2. 網(wǎng)關(guān) + redis 實現(xiàn)白名單機(jī)制

在 redis 里維護(hù)一套接口白名單列表,外部請求到達(dá)網(wǎng)關(guān)時,從 redis 獲取接口白名單,在白名單內(nèi)的接口放行,反之拒絕掉。

該方案的好處是,對業(yè)務(wù)代碼零侵入,只需要維護(hù)好白名單列表即可;

不足之處在于,白名單的維護(hù)是一個持續(xù)性投入的工作,在很多公司,業(yè)務(wù)開發(fā)無法直接觸及到 redis,只能提工單申請,增加了開發(fā)成本;另外,每次請求進(jìn)來,都需要判斷白名單,增加了系統(tǒng)響應(yīng)耗時,考慮到正常情況下外部進(jìn)來的請求大部分都是在白名單內(nèi)的,只有極少數(shù)惡意請求才會被白名單機(jī)制所攔截,所以該方案的性價比很低。

3. 方案三 網(wǎng)關(guān) + AOP

相比于方案二對接口進(jìn)行白名單判斷而言,方案三是對請求來源進(jìn)行判斷,并將該判斷下沉到業(yè)務(wù)側(cè)。避免了網(wǎng)關(guān)側(cè)的邏輯判斷,從而提升系統(tǒng)響應(yīng)速度。

我們知道,外部進(jìn)來的請求一定會經(jīng)過網(wǎng)關(guān)再被分發(fā)到具體的業(yè)務(wù)側(cè),內(nèi)部服務(wù)間的調(diào)用是不用走外部網(wǎng)關(guān)的(走 k8s 的 service)。

根據(jù)這個特點,我們可以對所有經(jīng)過網(wǎng)關(guān)的請求的header里添加一個字段,業(yè)務(wù)側(cè)接口收到請求后,判斷header里是否有該字段,如果有,則說明該請求來自外部,沒有,則屬于內(nèi)部服務(wù)的調(diào)用,再根據(jù)該接口是否屬于內(nèi)部接口來決定是否放行該請求。

該方案將內(nèi)外網(wǎng)訪問權(quán)限的處理分布到各個業(yè)務(wù)側(cè)進(jìn)行,消除了由網(wǎng)關(guān)來處理的系統(tǒng)性瓶頸;同時,開發(fā)者可以在業(yè)務(wù)側(cè)直接確定接口的內(nèi)外網(wǎng)訪問權(quán)限,提升開發(fā)效率的同時,增加了代碼的可讀性。

當(dāng)然該方案會對業(yè)務(wù)代碼有一定的侵入性,不過可以通過注解的形式,最大限度的降低這種侵入性。

圖片圖片


具體實操

下面就方案三,進(jìn)行具體的代碼演示。首先在網(wǎng)關(guān)側(cè),需要對進(jìn)來的請求header添加外網(wǎng)標(biāo)識符: from=public。
@Component
public class AuthFilter implements GlobalFilter, Ordered {
    @Override
    public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
         return chain.filter(
         exchange.mutate().request(
         exchange.getRequest().mutate().header('id', '').header('from', 'public').build())
         .build()
         );
    }

    @Override
    public int getOrder () {
        return 0;
    }
 }

接著,編寫內(nèi)外網(wǎng)訪問權(quán)限判斷的AOP和注解。

@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect {
 @Pointcut ( '@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)' )
 public void onlyIntranetAccessOnClass () {}
 @Pointcut ( '@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)' )
 public void onlyIntranetAccessOnMethed () {
 }

 @Before ( value = 'onlyIntranetAccessOnMethed() || onlyIntranetAccessOnClass()' )
 public void before () {
     HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
     String from = hsr.getHeader ( 'from' );
     if ( !StringUtils.isEmpty( from ) && 'public'.equals ( from )) {
        log.error ( 'This api is only allowed invoked by intranet source' );
        throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
            }
     }
 }

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface OnlyIntranetAccess {
}

最后,在只能內(nèi)網(wǎng)訪問的接口上加上@OnlyIntranetAccess注解即可

@GetMapping ( '/role/add' )
@OnlyIntranetAccess
public String onlyIntranetAccess() {
    return '該接口只允許內(nèi)部服務(wù)調(diào)用';
}
4. 網(wǎng)關(guān)路徑匹配
在DailyMart項目中我采用的是第四種:即在網(wǎng)關(guān)中進(jìn)行路徑匹配。
該方案中我們將內(nèi)網(wǎng)訪問的接口全部以前綴/pv開頭,然后在網(wǎng)關(guān)過濾器中根據(jù)路徑找到具體校驗器,如果是/pv訪問的路徑則直接提示禁止外部訪問。

使用網(wǎng)關(guān)路徑匹配方案不僅可以應(yīng)對內(nèi)網(wǎng)接口的問題,還可以擴(kuò)展到其他校驗機(jī)制上。譬如,有的接口需要通過access_token進(jìn)行校驗,有的接口需要校驗api_key 和 api_secret,為了應(yīng)對這種不同的校驗場景,只需要再實現(xiàn)一個校驗類即可,由不同的子類實現(xiàn)不同的校驗邏輯,擴(kuò)展非常方便。

圖片圖片


責(zé)任編輯:武曉燕 來源: JAVA日知錄
微服務(wù)接口暴露
相關(guān)推薦

2023-07-11 08:55:26

系統(tǒng)白名單AO

2022-10-10 08:28:57

接口內(nèi)網(wǎng)服務(wù)AOP

2024-07-01 09:55:13

2021-01-11 11:14:35

微服務(wù)架構(gòu)調(diào)用

2024-02-22 08:12:41

接口微服務(wù)內(nèi)網(wǎng)服務(wù)

2024-03-06 08:36:36

2024-08-06 08:08:14

2021-08-07 05:05:30

接口Redis項目

2016-11-24 14:44:49

云計算

2021-07-01 21:49:48

微服務(wù)Nacos服務(wù)

2021-06-27 17:03:33

黑客攻擊漏洞

2021-01-04 10:02:17

DockerLoaded plug操作系統(tǒng)

2020-05-13 10:36:06

勒索郵件郵件安全網(wǎng)絡(luò)攻擊

2011-11-24 18:38:54

服務(wù)器負(fù)載

2023-11-12 21:58:41

Java“假死”

2013-01-29 13:22:24

系統(tǒng)服務(wù)

2022-11-18 07:40:57

2010-03-04 09:06:35

Windows 7Apache安裝

2018-02-28 11:37:14

2020-12-03 06:18:04

磁盤Docker容器
點贊
收藏

51CTO技術(shù)棧公眾號