日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
微服務(wù)開(kāi)發(fā)時(shí),接口不能對(duì)外暴露怎么辦?

在業(yè)務(wù)開(kāi)發(fā)的時(shí)候,經(jīng)常會(huì)遇到某一個(gè)接口不能對(duì)外暴露,只能內(nèi)網(wǎng)服務(wù)間調(diào)用的實(shí)際需求。面對(duì)這樣的情況,我們?cè)撊绾螌?shí)現(xiàn)呢?

為欽北等地區(qū)用戶(hù)提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù),及欽北網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè)、欽北網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專(zhuān)業(yè)、用心的態(tài)度為用戶(hù)提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶(hù)的要求,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作。這樣,我們也可以走得更遠(yuǎn)!

今天,我就來(lái)說(shuō)一下碼猿慢病云管理系統(tǒng)中是如何實(shí)現(xiàn)的?

常用方案

在介紹碼猿慢病云管理系統(tǒng)中的實(shí)現(xiàn)方式,先來(lái)介紹常用的兩種方案。

1. 網(wǎng)關(guān)+白名單

此方案需要在緩存中維護(hù)一套接口白名單,請(qǐng)求到達(dá)網(wǎng)關(guān)處,先判斷白名單緩存中是否存在,存在則放行,反之則攔截。

網(wǎng)關(guān)+白名單

該方案的好處是,對(duì)業(yè)務(wù)代碼零侵入,只需要維護(hù)好白名單列表即可;

不足之處在于,白名單的維護(hù)是一個(gè)持續(xù)性投入的工作,在很多公司,業(yè)務(wù)開(kāi)發(fā)無(wú)法直接觸及到 redis,只能提工單申請(qǐng),增加了開(kāi)發(fā)成本;

另外,每次請(qǐng)求進(jìn)來(lái),都需要判斷白名單,增加了系統(tǒng)響應(yīng)耗時(shí),考慮到正常情況下外部進(jìn)來(lái)的請(qǐng)求大部分都是在白名單內(nèi)的,只有極少數(shù)惡意請(qǐng)求才會(huì)被白名單機(jī)制所攔截,所以該方案的性?xún)r(jià)比很低。

2. 網(wǎng)關(guān)+AOP

相比于方案一對(duì)接口進(jìn)行白名單判斷而言,方案二是對(duì)請(qǐng)求來(lái)源進(jìn)行判斷,并將該判斷下沉到業(yè)務(wù)側(cè)。避免了網(wǎng)關(guān)側(cè)的邏輯判斷,從而提升系統(tǒng)響應(yīng)速度。

我們可以在所有內(nèi)部的調(diào)用請(qǐng)求頭中增加一個(gè)header標(biāo)志這是一個(gè)內(nèi)部請(qǐng)求,比如加個(gè)請(qǐng)求頭:from=Y

只要在業(yè)務(wù)接口處通過(guò)AOP的方式判斷一下請(qǐng)求頭中是否含有from=Y,如果有,則是內(nèi)部請(qǐng)求,反之則是外部請(qǐng)求

網(wǎng)關(guān)+AOP

實(shí)現(xiàn)

碼猿慢病云管理系統(tǒng)中采用的是第二種方案:網(wǎng)關(guān)+AOP ,下面來(lái)介紹一下具體的代碼實(shí)現(xiàn)。

1. 定義注解

這里AOP在碼猿慢病云管理系統(tǒng)中采用的是注解的方式,注解如下:

@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Inner {
 /**
  * 是否AOP統(tǒng)一處理
  */
 boolean value() default true;
}

2. 網(wǎng)關(guān)處理

在網(wǎng)關(guān)處需要對(duì)請(qǐng)求頭中的from進(jìn)行清洗,避免有意之人偽裝內(nèi)部請(qǐng)求,這里需要做的就是對(duì)每個(gè)請(qǐng)求直接移除from這個(gè)請(qǐng)求頭,直接使用全局過(guò)濾器即可完成,代碼如下:

/**
 * {@link com.code.ape.codeape.gateway.filter.CodeapeRequestGlobalFilter#filter}
 * @author 公眾號(hào):碼猿技術(shù)專(zhuān)欄
 * @url: www.java-family.cn
 */
public class CodeapeRequestGlobalFilter implements GlobalFilter, Ordered {

 @Override
 public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {
  // 1. 清洗請(qǐng)求頭中from 參數(shù)
  ServerHttpRequest request = exchange.getRequest().mutate().headers(httpHeaders -> {
   httpHeaders.remove(SecurityConstants.FROM);
   // 設(shè)置請(qǐng)求時(shí)間
   httpHeaders.put(CommonConstants.REQUEST_START_TIME,
     Collections.singletonList(String.valueOf(System.currentTimeMillis())));
  }).build();
        .......
        .......
    }

3. feign接口處理

既然是內(nèi)部調(diào)用,按照之前的約定是要在請(qǐng)求頭中添加一個(gè)from=Y,因此在feign接口中需要新增這個(gè)請(qǐng)求頭,方式很簡(jiǎn)單,比如設(shè)備feign接口,如下:

/**
 * @author 公眾號(hào):碼猿技術(shù)專(zhuān)欄
 * @url: www.java-family.cn
 * @description 設(shè)備的feign接口
 */
@FeignClient(contextId = "remoteDeviceService", value = ServiceNameConstants.DEVICE_SERVICE)
public interface RemoteDeviceService {

 /**
  * 通過(guò)Sn查詢(xún)
  * @param sn 設(shè)備SN號(hào)
  * @return 設(shè)備詳細(xì)信息
  */
 @GetMapping(value = "/device/sn/{sn}",headers = "from=Y")
 R getBySn(@PathVariable("sn" ) String sn);
}

@GetMapping中的headers屬性即可完成新增請(qǐng)求頭,同樣的比如@RequestMapping、@PostMapping等也是支持的。

這樣的話在feign接口發(fā)出請(qǐng)求時(shí)則會(huì)自動(dòng)在請(qǐng)求頭中新增from=Y了。

4. AOP處理

在第1步中定義了@Inner這個(gè)注解,標(biāo)注在controller方法上表示這個(gè)接口只允許內(nèi)部調(diào)用,代碼如下:

圖片

@IngoreAuth這個(gè)注解是繞過(guò)鑒權(quán)的作用,前面文章中也有分享。

那么這個(gè)注解內(nèi)部的實(shí)現(xiàn)原理是什么呢?代碼如下:

//com.code.ape.codeape.common.security.component.CodeapeSecurityInnerAspect
@Slf4j
@Aspect
@RequiredArgsConstructor
public class CodeapeSecurityInnerAspect implements Ordered {

 private final HttpServletRequest request;

 @SneakyThrows
 @Around("@within(inner) || @annotation(inner)")
 public Object around(ProceedingJoinPoint point, Inner inner) {
        //取出請(qǐng)求頭中的from屬性
  String header = request.getHeader("from");
        //判斷from===Y
  if (inner.value() && !"Y".equals(header)) {
            //不符合規(guī)則,直接拋出異常,返回給客戶(hù)端無(wú)權(quán)限
   log.warn("訪問(wèn)接口 {} 沒(méi)有權(quán)限", point.getSignature().getName());
   throw new AccessDeniedException("Access is denied");
  }
  return point.proceed();
 }
    .......
}

如果請(qǐng)求頭中的from屬性不匹配,則拋出AccessDeniedException異常,會(huì)被全局異常捕獲,返回403的狀態(tài)碼,代碼如下:

圖片

總結(jié)

本節(jié)內(nèi)容介紹了微服務(wù)中接口不對(duì)外暴露的兩種方案:

  1. 網(wǎng)關(guān)+白名單
  2. 網(wǎng)關(guān)+AOP

當(dāng)然還有其他的實(shí)現(xiàn)方式,生產(chǎn)中根據(jù)項(xiàng)目需要選擇合適的方案為最佳。


網(wǎng)站欄目:微服務(wù)開(kāi)發(fā)時(shí),接口不能對(duì)外暴露怎么辦?
網(wǎng)站鏈接:http://www.dlmjj.cn/article/dhodcpp.html