在業(yè)務(wù)開發(fā)的時(shí)候，經(jīng)常會(huì)遇到某一個(gè)接口不能對(duì)外暴露，只能內(nèi)網(wǎng)服務(wù)間調(diào)用的實(shí)際需求。面對(duì)這樣的情況，我們?cè)撊绾螌?shí)現(xiàn)呢？

今天，我們就來理一理這個(gè)問題，從幾個(gè)可行的方案中，挑選一個(gè)來實(shí)現(xiàn)。

推薦一個(gè)開源免費(fèi)的 Spring Boot 實(shí)戰(zhàn)項(xiàng)目：

https://github.com/javastacks/spring-boot-best-practice

1. 內(nèi)外網(wǎng)接口微服務(wù)隔離

將對(duì)外暴露的接口和對(duì)內(nèi)暴露的接口分別放到兩個(gè)微服務(wù)上，一個(gè)服務(wù)里所有的接口均對(duì)外暴露，另一個(gè)服務(wù)的接口只能內(nèi)網(wǎng)服務(wù)間調(diào)用。

該方案需要額外編寫一個(gè)只對(duì)內(nèi)部暴露接口的微服務(wù)，將所有只能對(duì)內(nèi)暴露的業(yè)務(wù)接口聚合到這個(gè)微服務(wù)里，通過這個(gè)聚合的微服務(wù)，分別去各個(gè)業(yè)務(wù)側(cè)獲取資源。

該方案，新增一個(gè)微服務(wù)做請(qǐng)求轉(zhuǎn)發(fā)，增加了系統(tǒng)的復(fù)雜性，增大了調(diào)用耗時(shí)以及后期的維護(hù)成本。

2. 網(wǎng)關(guān) + redis 實(shí)現(xiàn)白名單機(jī)制

在 redis 里維護(hù)一套接口白名單列表，外部請(qǐng)求到達(dá)網(wǎng)關(guān)時(shí)，從 redis 獲取接口白名單，在白名單內(nèi)的接口放行，反之拒絕掉。

該方案的好處是，對(duì)業(yè)務(wù)代碼零侵入，只需要維護(hù)好白名單列表即可；

不足之處在于，白名單的維護(hù)是一個(gè)持續(xù)性投入的工作，在很多公司，業(yè)務(wù)開發(fā)無法直接觸及到 redis，只能提工單申請(qǐng)，增加了開發(fā)成本；另外，每次請(qǐng)求進(jìn)來，都需要判斷白名單，增加了系統(tǒng)響應(yīng)耗時(shí)，考慮到正常情況下外部進(jìn)來的請(qǐng)求大部分都是在白名單內(nèi)的，只有極少數(shù)惡意請(qǐng)求才會(huì)被白名單機(jī)制所攔截，所以該方案的性價(jià)比很低。

3. 方案三 網(wǎng)關(guān) + AOP

相比于方案二對(duì)接口進(jìn)行白名單判斷而言，方案三是對(duì)請(qǐng)求來源進(jìn)行判斷，并將該判斷下沉到業(yè)務(wù)側(cè)。避免了網(wǎng)關(guān)側(cè)的邏輯判斷，從而提升系統(tǒng)響應(yīng)速度。

我們知道，外部進(jìn)來的請(qǐng)求一定會(huì)經(jīng)過網(wǎng)關(guān)再被分發(fā)到具體的業(yè)務(wù)側(cè)，內(nèi)部服務(wù)間的調(diào)用是不用走外部網(wǎng)關(guān)的（走 k8s 的 service）。

根據(jù)這個(gè)特點(diǎn)，我們可以對(duì)所有經(jīng)過網(wǎng)關(guān)的請(qǐng)求的header里添加一個(gè)字段，業(yè)務(wù)側(cè)接口收到請(qǐng)求后，判斷header里是否有該字段，如果有，則說明該請(qǐng)求來自外部，沒有，則屬于內(nèi)部服務(wù)的調(diào)用，再根據(jù)該接口是否屬于內(nèi)部接口來決定是否放行該請(qǐng)求。

該方案將內(nèi)外網(wǎng)訪問權(quán)限的處理分布到各個(gè)業(yè)務(wù)側(cè)進(jìn)行，消除了由網(wǎng)關(guān)來處理的系統(tǒng)性瓶頸；同時(shí)，開發(fā)者可以在業(yè)務(wù)側(cè)直接確定接口的內(nèi)外網(wǎng)訪問權(quán)限，提升開發(fā)效率的同時(shí)，增加了代碼的可讀性。

當(dāng)然該方案會(huì)對(duì)業(yè)務(wù)代碼有一定的侵入性，不過可以通過注解的形式，最大限度的降低這種侵入性。

具體實(shí)操

下面就方案三，進(jìn)行具體的代碼演示。

首先在網(wǎng)關(guān)側(cè)，需要對(duì)進(jìn)來的請(qǐng)求header添加外網(wǎng)標(biāo)識(shí)符: from=public

@Component
public class AuthFilter implements GlobalFilter, Ordered {
    @Override
    public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
         return chain.filter(
         exchange.mutate().request(
         exchange.getRequest().mutate().header("id", "").header("from", "public").build())
         .build()
         )；
    }
 
    @Override
    public int getOrder () {
        return 0;
    }
 }

接著，編寫內(nèi)外網(wǎng)訪問權(quán)限判斷的AOP和注解

@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect {
 @Pointcut ( "@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
 public void onlyIntranetAccessOnClass () {}
 @Pointcut ( "@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
 public void onlyIntranetAccessOnMethed () {
 }
 
 @Before ( value = "onlyIntranetAccessOnMethed() || onlyIntranetAccessOnClass()" )
 public void before () {
     HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
     String from = hsr.getHeader ( "from" );
     if ( !StringUtils.isEmpty( from ) && "public".equals ( from )) {
        log.error ( "This api is only allowed invoked by intranet source" );
        throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
            }
     }
 }
 
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface OnlyIntranetAccess {
}

最后，在只能內(nèi)網(wǎng)訪問的接口上加上@OnlyIntranetAccess注解即可

@GetMapping ( "/role/add" )
@OnlyIntranetAccess
public String onlyIntranetAccess() {
    return "該接口只允許內(nèi)部服務(wù)調(diào)用";
}

你學(xué)會(huì)了嗎？

版權(quán)聲明：本文為CSDN博主「肥肥技術(shù)宅」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。原文鏈接：https://blog.csdn.net/m0_71777195/article/details/127243452

近期熱文推薦：

1.1,000+ 道 Java面試題及答案整理(2022最新版)

2.勁爆！Java 協(xié)程要來了。。。

3.Spring Boot 2.x 教程，太全了！

4.別再寫滿屏的爆爆爆炸類了，試試裝飾器模式，這才是優(yōu)雅的方式！！

5.《Java開發(fā)手冊(cè)（嵩山版）》最新發(fā)布，速速下載！

覺得不錯(cuò)，別忘了隨手點(diǎn)贊+轉(zhuǎn)發(fā)哦！文章來源地址http://www.zghlxwxcb.cn/news/detail-655504.html

到了這里，關(guān)于業(yè)務(wù)開發(fā)時(shí)，接口不能對(duì)外暴露怎么辦？的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！