1. 內(nèi)外網(wǎng)接口微服務(wù)隔離
2. 網(wǎng)關(guān) + redis 實(shí)現(xiàn)白名單機(jī)制
3. 方案三 網(wǎng)關(guān) + AOP
具體實(shí)操
在業(yè)務(wù)開發(fā)的時(shí)候,經(jīng)常會(huì)遇到某一個(gè)接口不能對外暴露,只能內(nèi)網(wǎng)服務(wù)間調(diào)用的實(shí)際需求。面對這樣的情況,我們該如何實(shí)現(xiàn)呢?今天,我們就來理一理這個(gè)問題,從幾個(gè)可行的方案中,挑選一個(gè)來實(shí)現(xiàn)。
1. 內(nèi)外網(wǎng)接口微服務(wù)隔離
將對外暴露的接口和對內(nèi)暴露的接口分別放到兩個(gè)微服務(wù)上,一個(gè)服務(wù)里所有的接口均對外暴露,另一個(gè)服務(wù)的接口只能內(nèi)網(wǎng)服務(wù)間調(diào)用。
該方案需要額外編寫一個(gè)只對內(nèi)部暴露接口的微服務(wù),將所有只能對內(nèi)暴露的業(yè)務(wù)接口聚合到這個(gè)微服務(wù)里,通過這個(gè)聚合的微服務(wù),分別去各個(gè)業(yè)務(wù)側(cè)獲取資源。
該方案,新增一個(gè)微服務(wù)做請求轉(zhuǎn)發(fā),增加了系統(tǒng)的復(fù)雜性,增大了調(diào)用耗時(shí)以及后期的維護(hù)成本。
基于 Spring Boot + MyBatis Plus + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序,支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能
項(xiàng)目地址:https://gitee.com/zhijiantianya/ruoyi-vue-pro
視頻教程:https://doc.iocoder.cn/video/
2. 網(wǎng)關(guān) + redis 實(shí)現(xiàn)白名單機(jī)制
在 redis 里維護(hù)一套接口白名單列表,外部請求到達(dá)網(wǎng)關(guān)時(shí),從 redis 獲取接口白名單,在白名單內(nèi)的接口放行,反之拒絕掉。
該方案的好處是,對業(yè)務(wù)代碼零侵入,只需要維護(hù)好白名單列表即可;
不足之處在于,白名單的維護(hù)是一個(gè)持續(xù)性投入的工作,在很多公司,業(yè)務(wù)開發(fā)無法直接觸及到 redis,只能提工單申請,增加了開發(fā)成本;另外,每次請求進(jìn)來,都需要判斷白名單,增加了系統(tǒng)響應(yīng)耗時(shí),考慮到正常情況下外部進(jìn)來的請求大部分都是在白名單內(nèi)的,只有極少數(shù)惡意請求才會(huì)被白名單機(jī)制所攔截,所以該方案的性價(jià)比很低。
基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序,支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能
項(xiàng)目地址:https://gitee.com/zhijiantianya/yudao-cloud
視頻教程:https://doc.iocoder.cn/video/
3. 方案三 網(wǎng)關(guān) + AOP
相比于方案二對接口進(jìn)行白名單判斷而言,方案三是對請求來源進(jìn)行判斷,并將該判斷下沉到業(yè)務(wù)側(cè)。避免了網(wǎng)關(guān)側(cè)的邏輯判斷,從而提升系統(tǒng)響應(yīng)速度。
我們知道,外部進(jìn)來的請求一定會(huì)經(jīng)過網(wǎng)關(guān)再被分發(fā)到具體的業(yè)務(wù)側(cè),內(nèi)部服務(wù)間的調(diào)用是不用走外部網(wǎng)關(guān)的(走 k8s 的 service)。
根據(jù)這個(gè)特點(diǎn),我們可以對所有經(jīng)過網(wǎng)關(guān)的請求的header里添加一個(gè)字段,業(yè)務(wù)側(cè)接口收到請求后,判斷header里是否有該字段,如果有,則說明該請求來自外部,沒有,則屬于內(nèi)部服務(wù)的調(diào)用,再根據(jù)該接口是否屬于內(nèi)部接口來決定是否放行該請求。
該方案將內(nèi)外網(wǎng)訪問權(quán)限的處理分布到各個(gè)業(yè)務(wù)側(cè)進(jìn)行,消除了由網(wǎng)關(guān)來處理的系統(tǒng)性瓶頸;同時(shí),開發(fā)者可以在業(yè)務(wù)側(cè)直接確定接口的內(nèi)外網(wǎng)訪問權(quán)限,提升開發(fā)效率的同時(shí),增加了代碼的可讀性。
當(dāng)然該方案會(huì)對業(yè)務(wù)代碼有一定的侵入性,不過可以通過注解的形式,最大限度的降低這種侵入性。
具體實(shí)操
下面就方案三,進(jìn)行具體的代碼演示。
首先在網(wǎng)關(guān)側(cè),需要對進(jìn)來的請求header添加外網(wǎng)標(biāo)識(shí)符: from=public
@Component publicclassAuthFilterimplementsGlobalFilter,Ordered{ @Override publicMonofilter(ServerWebExchangeexchange,GatewayFilterChainchain){ returnchain.filter( exchange.mutate().request( exchange.getRequest().mutate().header("id","").header("from","public").build()) .build() ); } @Override publicintgetOrder(){ return0; } }
接著,編寫內(nèi)外網(wǎng)訪問權(quán)限判斷的AOP和注解
@Aspect @Component @Slf4j publicclassOnlyIntranetAccessAspect{ @Pointcut("@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)") publicvoidonlyIntranetAccessOnClass(){} @Pointcut("@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)") publicvoidonlyIntranetAccessOnMethed(){ } @Before(value="onlyIntranetAccessOnMethed()||onlyIntranetAccessOnClass()") publicvoidbefore(){ HttpServletRequesthsr=((ServletRequestAttributes)RequestContextHolder.getRequestAttributes()).getRequest(); Stringfrom=hsr.getHeader("from"); if(!StringUtils.isEmpty(from)&&"public".equals(from)){ log.error("Thisapiisonlyallowedinvokedbyintranetsource"); thrownewMMException(ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR); } } } @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public@interfaceOnlyIntranetAccess{ }
最后,在只能內(nèi)網(wǎng)訪問的接口上加上@OnlyIntranetAccess注解即可
@GetMapping("/role/add") @OnlyIntranetAccess publicStringonlyIntranetAccess(){ return"該接口只允許內(nèi)部服務(wù)調(diào)用"; }
-
接口
+關(guān)注
關(guān)注
33文章
8575瀏覽量
151015 -
數(shù)據(jù)
+關(guān)注
關(guān)注
8文章
7002瀏覽量
88940 -
微服務(wù)
+關(guān)注
關(guān)注
0文章
137瀏覽量
7337
原文標(biāo)題:業(yè)務(wù)開發(fā)時(shí),接口不能對外暴露怎么辦?
文章出處:【微信號(hào):芋道源碼,微信公眾號(hào):芋道源碼】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論