點選「 IT碼徒 」， 關註，置頂 公眾號

每日技術幹貨，第一時間送達！

1. 內外網介面微服務隔離

2. 閘道器 + redis 實作白名單機制

3. 方案三 閘道器 + AOP

4. 具體實操

在業務開發的時候，經常會遇到某一個介面不能對外暴露，只能內網服務間呼叫的實際需求。面對這樣的情況，我們該如何實作呢？今天，我們就來理一理這個問題，從幾個可行的方案中，挑選一個來實作。

1

內外網介面微服務隔離

將對外暴露的介面和對內暴露的介面分別放到兩個微服務上，一個服務裏所有的介面均對外暴露，另一個服務的介面只能內網服務間呼叫。

該方案需要額外編寫一個只對內部暴露介面的微服務，將所有只能對內暴露的業務介面聚合到這個微服務裏，透過這個聚合的微服務，分別去各個業務側獲取資源。

該方案，新增一個微服務做請求轉發，增加了系統的復雜性，增大了呼叫耗時以及後期的維護成本。

2

閘道器 + redis 實作白名單機制

在 redis 裏維護一套介面白名單列表，外部請求到達閘道器時，從 redis 獲取介面白名單，在白名單內的介面放行，反之拒絕掉。

該方案的好處是，對業務程式碼零侵入，只需要維護好白名單列表即可；

不足之處在於，白名單的維護是一個持續性投入的工作，在很多公司，業務開發無法直接觸及到 redis，只能提工單申請，增加了開發成本；另外，每次請求進來，都需要判斷白名單，增加了系統響應耗時，考慮到正常情況下外部進來的請求大部份都是在白名單內的，只有極少數惡意請求才會被白名單機制所攔截，所以該方案的價效比很低。

3

方案三 閘道器 + AOP

相比於方案二對介面進行白名單判斷而言，方案三是對請求來源進行判斷，並將該判斷下沈到業務側。避免了閘道器側的邏輯判斷，從而提升系統響應速度。

我們知道，外部進來的請求一定會經過閘道器再被分發到具體的業務側，內部服務間的呼叫是不用走外部閘道器的（走 k8s 的 service）。

根據這個特點，我們可以對所有經過閘道器的請求的header裏添加一個欄位，業務側介面收到請求後，判斷header裏是否有該欄位，如果有，則說明該請求來自外部，沒有，則屬於內部服務的呼叫，再根據該介面是否屬於內部介面來決定是否放行該請求。

該方案將內外網存取許可權的處理分布到各個業務側進行，消除了由閘道器來處理的系統性瓶頸；同時，開發者可以在業務側直接確定介面的內外網存取許可權，提升開發效率的同時，增加了程式碼的可讀性。

當然該方案會對業務程式碼有一定的侵入性，不過可以透過註解的形式，最大限度的降低這種侵入性。

4

具體實操

下面就方案三，進行具體的程式碼演示。

首先在閘道器側，需要對進來的請求header添加外網識別元: from=public

@Component
public classAuthFilterimplementsGlobalFilter, Ordered{
@Override
public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
return chain.filter(
exchange.mutate().request(
exchange.getRequest().mutate().header("id", "").header("from", "public").build())
.build()
)；
}
@Override
publicintgetOrder(){
return0;
}
 }


接著，編寫內外網存取許可權判斷的AOP和註解

@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect {
@Pointcut ( "@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
publicvoid onlyIntranetAccessOn class () {}
@Pointcut ( "@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
publicvoid onlyIntranetAccessOnMethed () {
 }
@Before ( value = "onlyIntranetAccessOnMethed() || onlyIntranetAccessOn class()" )
publicvoid before () {
HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
Stringfrom = hsr.getHeader ( "from" );
if ( !StringUtils.isEmpty( from ) && "public".equals ( from )) {
log.error ( "This api is only allowed invoked by intranet source" );
thrownew MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
}
}
 }
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public@interface OnlyIntranetAccess {
}



最後，在只能內網存取的介面上加上@OnlyIntranetAccess註解即可

@GetMapping ( "/role/add" )
@OnlyIntranetAccess
publicString onlyIntranetAccess() {
return"該介面只允許內部服務呼叫";
}

來源：blog.csdn.net/m0_71777195 /article/details/127243452

— END —

PS：防止找不到本篇文章，可以收藏點贊，方便翻閱尋找哦。

往期推薦