勵志當(dāng)最強(qiáng)課代表的我來給大家總結(jié)總結(jié)??????

業(yè)務(wù)開發(fā)時接口不能對外暴露的三種方案

視頻內(nèi)容:

1??內(nèi)外網(wǎng)接口微服務(wù)隔離??

2??網(wǎng)關(guān)+redis 實(shí)現(xiàn)白名單機(jī)制??

3??網(wǎng)關(guān)+AOP???

視頻內(nèi)容:

1??內(nèi)外網(wǎng)接口微服務(wù)隔離??

將對外暴露的接口和對內(nèi)暴露的接口分別放到兩個微服務(wù)上，一個服務(wù)里所有的接口均對外暴露，另一個服務(wù)的接口只能內(nèi)網(wǎng)服務(wù)間調(diào)用。

該方案需要額外編寫一個只對內(nèi)部暴露接口的微服務(wù)，將所有只能對內(nèi)暴露的業(yè)務(wù)接口聚合到這個微服務(wù)里，通過這個聚合的微服務(wù)，分別去各個業(yè)務(wù)側(cè)獲取資源。

該方案，新增一個微服務(wù)做請求轉(zhuǎn)發(fā)，增加了系統(tǒng)的復(fù)雜性，增大了調(diào)用耗時以及后期的維護(hù)成本。

2??網(wǎng)關(guān)+redis 實(shí)現(xiàn)白名單機(jī)制??

在redis里維護(hù)一套接口白名單列表，外部請求到達(dá)網(wǎng)關(guān)時，從redis 獲取接口白名單，在白名單內(nèi)的接口放行，反之拒絕掉。

該方案的好處是，對業(yè)務(wù)代碼零侵入，只需要維護(hù)好白名單列表即可;

不足之處在于，白名單的維護(hù)是一個持續(xù)性投入的工作，在很多公司，業(yè)務(wù)開發(fā)無法直接觸及到redis，只能提工單申請，增加了開發(fā)成本;另外，每次請求進(jìn)來，都需要判斷白名單，增加了系統(tǒng)響應(yīng)耗時，考慮到正常情況下外部進(jìn)來的請求大部分都是在白名單內(nèi)的，只有極少數(shù)惡意請求才會被白名單機(jī)制所攔截，所以該方案的性價比很低。

3??網(wǎng)關(guān)+AOP???

相比于方案二對接口進(jìn)行白名單判斷而言，方案三是對請求來源進(jìn)行判斷，并將該判斷下沉到業(yè)務(wù)側(cè)。避免了網(wǎng)關(guān)側(cè)的邏輯判斷，從而提升系統(tǒng)響應(yīng)速度。

知道，外部進(jìn)來的請求一定會經(jīng)過網(wǎng)關(guān)再被分發(fā)到具體的業(yè)務(wù)側(cè)，內(nèi)部服務(wù)間的調(diào)用是不用走外部網(wǎng)關(guān)的（走k8s的service)。根據(jù)這個特點(diǎn)，可以對所有經(jīng)過網(wǎng)關(guān)的請求的header里添加一個字段，業(yè)務(wù)側(cè)接口收到請求后，判斷header里是否有該字段，如果有，則說明該請求來自外部，沒有，則屬于內(nèi)部服務(wù)的調(diào)用，再根據(jù)該接口是否屬于內(nèi)部接口來決定是否放行該請求。

該方案將內(nèi)外網(wǎng)訪問權(quán)限的處理分布到各個業(yè)務(wù)側(cè)進(jìn)行，消除了由網(wǎng)關(guān)來處理的系統(tǒng)性瓶頸;同時，開發(fā)者可以在業(yè)務(wù)側(cè)直接確定接口的內(nèi)外網(wǎng)訪問權(quán)限，提升開發(fā)效率的同時，增加了代碼的可讀性。