APIGateway

概念介绍

APIGateway是微服务对外提供服务的一个屏障,它的核心点在于:

  • 屏蔽微服务之间通过消息队列、rpc等通信方式,为Web页面和移动APP提供基于HTTP协议的RESTful API接口
  • 对每一个http业务请求进行必要的鉴权和数据完整性、合法性检查,以减少微服务的负担,让微服务的代码更纯粹
  • 微服务部署体系中,每个微服务可能会部署多个实例,Gateway还承担着在这些实例中进行负载均衡的功能
  • 进行必要的日志输出、监控打点等功能,对每一个来自于APP和页面的http请求,生成一个唯一的trace id,并将trace id传导到每一个后续的微服务中,以便后续的查错和性能调优
  • Gateway的每一个http请求都是无状态的,采用JWT(Json Web Token)机制实现一个客户端的请求状态信息的传递

APIGateway架构

image.png

访问控制链:

Token(JWT)

JSON Web Token(JWT)是一个非常轻巧的规范(RFC 7951)。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

头部(Header):
JWT需要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等,被表示成一个JSON对象。

{
  "typ": "JWT",
  "alg": "HS256"
}

载荷(Payload):
JWT中存放数据的结构,被表示成一个JSON对象

{
    "iss": "",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "",
    "from_user": "B",
    "target_user": "A"
}

签名(签名):
将上述两部分进行base64编码,并用对应的算法HS256进行加密就可以得到签名,签名的密钥,双方事先约定。完整的JWT如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

Permission 权限控制

可以基于现有权限系统对访问路由权限进行控制。

Rate Limiting 接口访问频次限制

开放接口限制每段时间只能请求一定的次数。限制的单位时间有每小时、每天;限制的维度有单授权用户和单IP;部分特殊接口有单独的请求次数限制。例如:

  • 一个应用内单授权用户每小时只能请求开放接口n次
  • 一个应用内单授权用户每天累计只能请求开放接口m次
  • 一个IP地址每小时只能请求开放接口x次

这样的限制可以有效的保障系统的稳定和安全,并对应紧急情况可以进行接口的熔断和降级处理。

Logging 日志系统

基于APIGateway的日志系统优势:

  • 设立统一的应用实例标识符
  • 统一日志规范,如:使用UTC时间
  • 统一的生成请求标识符,方便调试和排除以及追踪数据流
  • 更有效利用聚合工具进行日志管理:GayLog

任务队列

APIGateway可以更加可靠的对任务进行管理和处理。通常的手段有RPC和REST HTTP两种。

RPC

RPC优势:

  • 开发速度快:
  • 接口维护简单高效
  • 学习成本低
  • 多语言/跨语言支持
  • 已验证成熟稳定
    架构图:
    image

RESTful

  • 每一个URI代表一种资源
  • 客户端和服务器之间,传递这种资源的某种表现层
  • 客户端通过四个HTTP动词,对服务器端资源进行操作,实现"表现层状态转化"


    image

配置中心

Secret

为每个应用配置独立的密钥

Service Registry

通过配置中心,注册服务


image

Service心跳检测

当微服务实例注册到服务中心后,微服务需要定时向服务中心发送心跳。若服务中心在一定时间内没有收到心跳信息,则会注销此实例。

IP Table

防火墙,白名单/黑明单。

Permission Group

应用权限分组,方便权限分配。

你可能感兴趣的:(APIGateway)