業(yè)務(wù)開發(fā)時(shí),接口不能對(duì)外暴露怎么辦?
點(diǎn)擊關(guān)注公眾號(hào),Java干貨及時(shí)送達(dá)??
來源:blog.csdn.net/m0_71777195/article/details/127243452
內(nèi)外網(wǎng)接口微服務(wù)隔離 網(wǎng)關(guān) + redis 實(shí)現(xiàn)白名單機(jī)制 方案三 網(wǎng)關(guān) + AOP 具體實(shí)操
在業(yè)務(wù)開發(fā)的時(shí)候,經(jīng)常會(huì)遇到某一個(gè)接口不能對(duì)外暴露,只能內(nèi)網(wǎng)服務(wù)間調(diào)用的實(shí)際需求。面對(duì)這樣的情況,我們?cè)撊绾螌?shí)現(xiàn)呢?今天,我們就來理一理這個(gè)問題,從幾個(gè)可行的方案中,挑選一個(gè)來實(shí)現(xiàn)。
1. 內(nèi)外網(wǎng)接口微服務(wù)隔離
將對(duì)外暴露的接口和對(duì)內(nèi)暴露的接口分別放到兩個(gè)微服務(wù)上,一個(gè)服務(wù)里所有的接口均對(duì)外暴露,另一個(gè)服務(wù)的接口只能內(nèi)網(wǎng)服務(wù)間調(diào)用。
該方案需要額外編寫一個(gè)只對(duì)內(nèi)部暴露接口的微服務(wù),將所有只能對(duì)內(nèi)暴露的業(yè)務(wù)接口聚合到這個(gè)微服務(wù)里,通過這個(gè)聚合的微服務(wù),分別去各個(gè)業(yè)務(wù)側(cè)獲取資源。
該方案,新增一個(gè)微服務(wù)做請(qǐng)求轉(zhuǎn)發(fā),增加了系統(tǒng)的復(fù)雜性,增大了調(diào)用耗時(shí)以及后期的維護(hù)成本。
2. 網(wǎng)關(guān) + redis 實(shí)現(xiàn)白名單機(jī)制
在 redis 里維護(hù)一套接口白名單列表,外部請(qǐng)求到達(dá)網(wǎng)關(guān)時(shí),從 redis 獲取接口白名單,在白名單內(nèi)的接口放行,反之拒絕掉。
該方案的好處是,對(duì)業(yè)務(wù)代碼零侵入,只需要維護(hù)好白名單列表即可;
不足之處在于,白名單的維護(hù)是一個(gè)持續(xù)性投入的工作,在很多公司,業(yè)務(wù)開發(fā)無法直接觸及到 redis,只能提工單申請(qǐng),增加了開發(fā)成本;另外,每次請(qǐng)求進(jìn)來,都需要判斷白名單,增加了系統(tǒng)響應(yīng)耗時(shí),考慮到正常情況下外部進(jìn)來的請(qǐng)求大部分都是在白名單內(nèi)的,只有極少數(shù)惡意請(qǐng)求才會(huì)被白名單機(jī)制所攔截,所以該方案的性價(jià)比很低。
3. 方案三 網(wǎng)關(guān) + AOP
相比于方案二對(duì)接口進(jìn)行白名單判斷而言,方案三是對(duì)請(qǐng)求來源進(jìn)行判斷,并將該判斷下沉到業(yè)務(wù)側(cè)。避免了網(wǎng)關(guān)側(cè)的邏輯判斷,從而提升系統(tǒng)響應(yīng)速度。
我們知道,外部進(jìn)來的請(qǐng)求一定會(huì)經(jīng)過網(wǎng)關(guān)再被分發(fā)到具體的業(yè)務(wù)側(cè),內(nèi)部服務(wù)間的調(diào)用是不用走外部網(wǎng)關(guān)的(走 k8s 的 service)。
根據(jù)這個(gè)特點(diǎn),我們可以對(duì)所有經(jīng)過網(wǎng)關(guān)的請(qǐng)求的header里添加一個(gè)字段,業(yè)務(wù)側(cè)接口收到請(qǐng)求后,判斷header里是否有該字段,如果有,則說明該請(qǐng)求來自外部,沒有,則屬于內(nèi)部服務(wù)的調(diào)用,再根據(jù)該接口是否屬于內(nèi)部接口來決定是否放行該請(qǐng)求。
該方案將內(nèi)外網(wǎng)訪問權(quán)限的處理分布到各個(gè)業(yè)務(wù)側(cè)進(jìn)行,消除了由網(wǎng)關(guān)來處理的系統(tǒng)性瓶頸;同時(shí),開發(fā)者可以在業(yè)務(wù)側(cè)直接確定接口的內(nèi)外網(wǎng)訪問權(quán)限,提升開發(fā)效率的同時(shí),增加了代碼的可讀性。
當(dāng)然該方案會(huì)對(duì)業(yè)務(wù)代碼有一定的侵入性,不過可以通過注解的形式,最大限度的降低這種侵入性。
具體實(shí)操
下面就方案三,進(jìn)行具體的代碼演示。
首先在網(wǎng)關(guān)側(cè),需要對(duì)進(jìn)來的請(qǐng)求header添加外網(wǎng)標(biāo)識(shí)符: from=public
@Component
public class AuthFilter implements GlobalFilter, Ordered {
@Override
public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
return chain.filter(
exchange.mutate().request(
exchange.getRequest().mutate().header("id", "").header("from", "public").build())
.build()
);
}
@Override
public int getOrder () {
return 0;
}
}
接著,編寫內(nèi)外網(wǎng)訪問權(quán)限判斷的AOP和注解
@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect {
@Pointcut ( "@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
public void onlyIntranetAccessOnClass () {}
@Pointcut ( "@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
public void onlyIntranetAccessOnMethed () {
}
@Before ( value = "onlyIntranetAccessOnMethed() || onlyIntranetAccessOnClass()" )
public void before () {
HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
String from = hsr.getHeader ( "from" );
if ( !StringUtils.isEmpty( from ) && "public".equals ( from )) {
log.error ( "This api is only allowed invoked by intranet source" );
throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
}
}
}
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface OnlyIntranetAccess {
}
最后,在只能內(nèi)網(wǎng)訪問的接口上加上@OnlyIntranetAccess注解即可
@GetMapping ( "/role/add" )
@OnlyIntranetAccess
public String onlyIntranetAccess() {
return "該接口只允許內(nèi)部服務(wù)調(diào)用";
}
1. 漏洞警告:SpringBoot 該如何預(yù)防 XSS 攻擊 ??
最近面試BAT,整理一份面試資料《Java面試BATJ通關(guān)手冊(cè)》,覆蓋了Java核心技術(shù)、JVM、Java并發(fā)、SSM、微服務(wù)、數(shù)據(jù)庫、數(shù)據(jù)結(jié)構(gòu)等等。
獲取方式:點(diǎn)“在看”,關(guān)注公眾號(hào)并回復(fù) Java 領(lǐng)取,更多內(nèi)容陸續(xù)奉上。
PS:因公眾號(hào)平臺(tái)更改了推送規(guī)則,如果不想錯(cuò)過內(nèi)容,記得讀完點(diǎn)一下“在看”,加個(gè)“星標(biāo)”,這樣每次新文章推送才會(huì)第一時(shí)間出現(xiàn)在你的訂閱列表里。
點(diǎn)“在看”支持小哈呀,謝謝啦
