當前位置: 妍妍網 > 碼農

面試官:業務開發時,介面不能對外暴露怎麽辦?有 3 種實作方案!

2024-06-28碼農

來源:blog.csdn.net/m0_71777195/article/details/127243452

👉 歡迎 ,你將獲得: 專屬的計畫實戰 / 1v1 提問 / Java 學習路線 / 學習打卡 / 每月贈書 / 社群討論

  • 新計畫: 【從零手擼:仿小紅書(微服務架構)】 正在持續爆肝中,基於 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17..., ;

  • 【從零手擼:前後端分離部落格計畫(全棧開發)】 2期已完結,演示連結: http://116.62.199.48/ ;

  • 截止目前, 累計輸出 47w+ 字,講解圖 2090+ 張,還在持續爆肝中.. 後續還會上新更多計畫,目標是將 Java 領域典型的計畫都整一波,如秒殺系統, 線上商城, IM 即時通訊,Spring Cloud Alibaba 等等,

  • 1.內外網介面微服務隔離

  • 2.閘道器 + redis 實作白名單機制

  • 3.方案三 閘道器 + AOP

  • 具體實操

  • 在業務開發的時候,經常會遇到某一個介面不能對外暴露,只能內網服務間呼叫的實際需求。面對這樣的情況,我們該如何實作呢?今天,我們就來理一理這個問題,從幾個可行的方案中,挑選一個來實作。

    1. 內外網介面微服務隔離

    將對外暴露的介面和對內暴露的介面分別放到兩個微服務上,一個服務裏所有的介面均對外暴露,另一個服務的介面只能內網服務間呼叫。

    該方案需要額外編寫一個只對內部暴露介面的微服務,將所有只能對內暴露的業務介面聚合到這個微服務裏,透過這個聚合的微服務,分別去各個業務側獲取資源。

    該方案,新增一個微服務做請求轉發,增加了系統的復雜性,增大了呼叫耗時以及後期的維護成本。

    2. 閘道器 + redis 實作白名單機制

    在 redis 裏維護一套介面白名單列表,外部請求到達閘道器時,從 redis 獲取介面白名單,在白名單內的介面放行,反之拒絕掉。

    該方案的好處是,對業務程式碼零侵入,只需要維護好白名單列表即可;

    不足之處在於,白名單的維護是一個持續性投入的工作,在很多公司,業務開發無法直接觸及到 redis,只能提工單申請,增加了開發成本;另外,每次請求進來,都需要判斷白名單,增加了系統響應耗時,考慮到正常情況下外部進來的請求大部份都是在白名單內的,只有極少數惡意請求才會被白名單機制所攔截,所以該方案的價效比很低。

    3. 方案三 閘道器 + AOP

    相比於方案二對介面進行白名單判斷而言,方案三是對請求來源進行判斷,並將該判斷下沈到業務側。避免了閘道器側的邏輯判斷,從而提升系統響應速度。

    我們知道,外部進來的請求一定會經過閘道器再被分發到具體的業務側,內部服務間的呼叫是不用走外部閘道器的(走 k8s 的 service)。

    根據這個特點,我們可以對所有經過閘道器的請求的header裏添加一個欄位,業務側介面收到請求後,判斷header裏是否有該欄位,如果有,則說明該請求來自外部,沒有,則屬於內部服務的呼叫,再根據該介面是否屬於內部介面來決定是否放行該請求。

    該方案將內外網存取許可權的處理分布到各個業務側進行,消除了由閘道器來處理的系統性瓶頸;同時,開發者可以在業務側直接確定介面的內外網存取許可權,提升開發效率的同時,增加了程式碼的可讀性。

    當然該方案會對業務程式碼有一定的侵入性,不過可以透過註解的形式,最大限度的降低這種侵入性。

    圖片

    具體實操

    下面就方案三,進行具體的程式碼演示。

    首先在閘道器側,需要對進來的請求header添加外網識別元: from=public

    @Component
    public class AuthFilter implements GlobalFilter, Ordered {
    @Override
    public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
    return chain.filter(
    exchange.mutate().request(
    exchange.getRequest().mutate().header("id""").header("from""public").build())
    .build()
    );
    }
    @Override
    public int getOrder () {
    return 0;
    }
     }

    接著,編寫內外網存取許可權判斷的AOP和註解

    @Aspect
    @Component
    @Slf4j
    public class OnlyIntranetAccessAspect {
     @Pointcut ( "@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
     public void onlyIntranetAccessOn class () {}
     @Pointcut ( "@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
     public void onlyIntranetAccessOnMethed () {
     }
     @Before ( value = "onlyIntranetAccessOnMethed() || onlyIntranetAccessOn class()" )
     public void before () {
    HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
    String from = hsr.getHeader ( "from" );
    if ( !StringUtils.isEmpty( from ) && "public".equals ( from )) {
    log.error ( "This api is only allowed invoked by intranet source" );
    throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
    }
    }
     }
    @Target({ElementType.METHOD})
    @Retention(RetentionPolicy.RUNTIME)
    @Documented
    public @interface OnlyIntranetAccess {
    }

    最後,在只能內網存取的介面上加上@OnlyIntranetAccess註解即可

    @GetMapping ( "/role/add" )
    @OnlyIntranetAccess
    public String onlyIntranetAccess() {
    return"該介面只允許內部服務呼叫";
    }

    👉 歡迎 ,你將獲得: 專屬的計畫實戰 / 1v1 提問 / Java 學習路線 / 學習打卡 / 每月贈書 / 社群討論

  • 新計畫: 【從零手擼:仿小紅書(微服務架構)】 正在持續爆肝中,基於 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17..., ;

  • 【從零手擼:前後端分離部落格計畫(全棧開發)】 2期已完結,演示連結: http://116.62.199.48/ ;

  • 截止目前, 累計輸出 47w+ 字,講解圖 2090+ 張,還在持續爆肝中.. 後續還會上新更多計畫,目標是將 Java 領域典型的計畫都整一波,如秒殺系統, 線上商城, IM 即時通訊,Spring Cloud Alibaba 等等,


    1. 

    2. 

    3. 

    4. 

    最近面試BAT,整理一份面試資料Java面試BATJ通關手冊,覆蓋了Java核心技術、JVM、Java並行、SSM、微服務、資料庫、數據結構等等。

    獲取方式:點「在看」,關註公眾號並回復 Java 領取,更多內容陸續奉上。

    PS:因公眾號平台更改了推播規則,如果不想錯過內容,記得讀完點一下在看,加個星標,這樣每次新文章推播才會第一時間出現在你的訂閱列表裏。

    「在看」支持小哈呀,謝謝啦