APIGateway

概念介绍

APIGateway是微服务对外提供服务的一个屏障，它的核心点在于：

• 屏蔽微服务之间通过消息队列、rpc等通信方式，为Web页面和移动APP提供基于HTTP协议的RESTful API接口
• 对每一个http业务请求进行必要的鉴权和数据完整性、合法性检查，以减少微服务的负担，让微服务的代码更纯粹
• 微服务部署体系中，每个微服务可能会部署多个实例，Gateway还承担着在这些实例中进行负载均衡的功能
• 进行必要的日志输出、监控打点等功能，对每一个来自于APP和页面的http请求，生成一个唯一的trace id，并将trace id传导到每一个后续的微服务中，以便后续的查错和性能调优
• Gateway的每一个http请求都是无状态的，采用JWT（Json Web Token）机制实现一个客户端的请求状态信息的传递

APIGateway架构

image.png

访问控制链:

Token(JWT)

JSON Web Token（JWT）是一个非常轻巧的规范（RFC 7951）。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串，它由三部分组成，头部、载荷与签名。

头部（Header）：
JWT需要一个头部，头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等,被表示成一个JSON对象。

{
  "typ": "JWT",
  "alg": "HS256"
}

载荷（Payload）:
JWT中存放数据的结构，被表示成一个JSON对象

{
    "iss": "",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "",
    "from_user": "B",
    "target_user": "A"
}

签名（签名）:
将上述两部分进行base64编码，并用对应的算法HS256进行加密就可以得到签名，签名的密钥，双方事先约定。完整的JWT如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

Permission 权限控制

可以基于现有权限系统对访问路由权限进行控制。

Rate Limiting 接口访问频次限制

开放接口限制每段时间只能请求一定的次数。限制的单位时间有每小时、每天；限制的维度有单授权用户和单IP；部分特殊接口有单独的请求次数限制。例如：

• 一个应用内单授权用户每小时只能请求开放接口n次
• 一个应用内单授权用户每天累计只能请求开放接口m次
• 一个IP地址每小时只能请求开放接口x次

这样的限制可以有效的保障系统的稳定和安全，并对应紧急情况可以进行接口的熔断和降级处理。

Logging 日志系统

基于APIGateway的日志系统优势：

• 设立统一的应用实例标识符
• 统一日志规范，如：使用UTC时间
• 统一的生成请求标识符，方便调试和排除以及追踪数据流
• 更有效利用聚合工具进行日志管理：GayLog

任务队列

APIGateway可以更加可靠的对任务进行管理和处理。通常的手段有RPC和REST HTTP两种。

RPC

RPC优势：

• 开发速度快：
• 接口维护简单高效
• 学习成本低
• 多语言/跨语言支持
• 已验证成熟稳定
  架构图：
  
  image

RESTful

• 每一个URI代表一种资源
• 客户端和服务器之间，传递这种资源的某种表现层

• 客户端通过四个HTTP动词，对服务器端资源进行操作，实现"表现层状态转化"

  
  
  image

配置中心

Secret

为每个应用配置独立的密钥

Service Registry

通过配置中心，注册服务

image

Service心跳检测

当微服务实例注册到服务中心后，微服务需要定时向服务中心发送心跳。若服务中心在一定时间内没有收到心跳信息，则会注销此实例。

IP Table

防火墙，白名单/黑明单。

Permission Group

应用权限分组，方便权限分配。