【接口不对外暴露-过滤器】业务开发,接口不能对外暴露的3种实现方案

一、内外网接口微服务隔离

将对外暴露的接口和对内暴露的接口分别放到两个微服务上,一个服务里所有的接口均对外暴露,另一个服务的接口只能内网服务间调用。

需要额外编写一个只对内部暴露接口的微服务,将所有只能对内暴露的业务接口聚合到这个微服务里,通过这个聚合的微服务,分别去各个业务侧获取资源。该方案,
[缺点]:新增一个微服务做请求转发,增加了系统的复杂性,增大了调用耗时以及后期的维护成本。

二、网关 + redis 实现白名单机制

在 redis 里维护一套接口白名单列表,外部请求到达网关时,从 redis 获取接口白名单,在白名单内的接口放行,反之拒绝掉。
[优点]:对业务代码零侵入,只需要维护好白名单列表即可。
[缺点]:白名单的维护是一个持续性投入的工作,在很多公司,业务开发无法直接触及到 redis,只能提工单申请,增加了开发。考虑到正常情况下外部进来的请求大部分都是在白名单内的,只有极少数恶意请求才会被白名单机制所拦截,所以该方案的性价比很低

三、 网关 + AOP

相比于方案二对接口进行白名单判断而言,方案三是对请求来源进行判断,并将该判断下沉到业务侧。避免了网关侧的逻辑判断,从而提升系统响应速度。
我们知道,外部进来的请求一定会经过网关再被分发到具体的业务侧,内部服务间的调用是不用走外部网关的(走 k8s 的 service)。

根据这个特点,我们可以对所有经过网关的请求的header里添加一个字段,业务侧接口收到请求后,判断header里是否有该字段,如果有,则说明该请求来自外部,没有,则属于内部服务的调用,再根据该接口是否属于内部接口来决定是否放行该请求。

该方案将内外网访问权限的处理分布到各个业务侧进行,消除了由网关来处理的系统性瓶颈;同时,开发者可以在业务侧直接确定接口的内外网访问权限,提升开发效率的同时,增加了代码的可读性。

当然该方案会对业务代码有一定的侵入性,不过可以通过注解的形式,最大限度的降低这种侵入性。

@Componet
public class AuthFilter implements GlobalFilter,Ordered{
   @Override 
   public Mono<Void> filter (ServerWebExchange exchange,GatewayFilterchain chain){
   return chain.filter(
   exchange.mutate().request(
   exchange.getRequest().mutate().header("id","").header("from","public")build.build()
    );
   }
   @Override
   public int getOrder(
   return 0;
   )
}

接着,编写内外网访问权限判断的AOP和注解

@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect{
  @Pointcut("@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)")
  public void onlyIntranetAccessOnClass(){}
  @Pointcut("@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)")
   public void onlyIntranetAccessOnMethedd(){}
 @Before(value="onlyIntranetAccessOnMethed()||onlyIntranetAccessOnClass()")
 public void before(){
  HttpServletRequers hsr = ((ServletRequestAttributes)RequestContextHolder.getRequest())
  String from = hst.getHeader("from");
  if(!StringUtils.isEmpty(from) && "public".equals(from)){
   log.error("This api is only allowed invoked by Intranet source");
   throw new MMException("非外部接口不可调用");
  }
 }
}

@Targe({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface OnlyIntranetAccess{}

最后,在只能内网访问的接口上加上@OnlyIntranetAccess注解即可

@GetMapping("/role/add")
@OnlyIntranetAccess
public String onlyIntranetAccess(){
return "该接口只能内部调用";
}

你可能感兴趣的:(#,Java,处理各种情况,java,kubernetes,开发语言)