业务开发时,接口不能对外暴露怎么办?
在业务开发中,如果接口不能对外暴露,可以采取以下几种方式来解决:
- 使用安全协议:在开发接口时,应该优先考虑使用安全的协议,例如HTTPS协议。通过使用安全协议,可以保证接口通信的数据传输是加密的,从而防止数据被窃取或篡改。
- 身份验证和授权机制:在接口开发中,应该实现身份验证和授权机制。通过身份验证来确保只有经过授权的用户才能够访问接口,同时也可以对接口的访问权限进行控制,例如限制访问频率、访问IP等。
- 使用代理服务器:可以通过使用代理服务器来隐藏后端接口。代理服务器可以作为中间件,对外提供服务,同时将请求转发给后端接口。这样,外部无法直接访问到后端接口,增加了安全性。
- 使用防火墙和入侵检测系统:可以通过配置防火墙和入侵检测系统来限制对接口的访问。防火墙可以设置规则来限制访问的IP、端口等,而入侵检测系统可以实时监控网络流量,发现异常请求并及时报警。
- 代码混淆和压缩:可以对代码进行混淆和压缩,使得代码不易被反编译和阅读。这样可以增加攻击者破解的难度,保护接口的实现细节不被轻易暴露。
在业务开发的时候,经常会遇到某一个接口不能对外暴露,只能内网服务间调用的实际需求。面对这样的情况,我们该如何实现呢?
今天,我们就来理一理这个问题,从几个可行的方案中,挑选一个来实现。
推荐一个开源免费的 Spring Boot 实战项目:
1. 内外网接口微服务隔离
将对外暴露的接口和对内暴露的接口分别放到两个微服务上,一个服务里所有的接口均对外暴露,另一个服务的接口只能内网服务间调用。
该方案需要额外编写一个只对内部暴露接口的微服务,将所有只能对内暴露的业务接口聚合到这个微服务里,通过这个聚合的微服务,分别去各个业务侧获取资源。
该方案,新增一个微服务做请求转发,增加了系统的复杂性,增大了调用耗时以及后期的维护成本。
2. 网关 + redis 实现白名单机制
在 redis 里维护一套接口白名单列表,外部请求到达网关时,从 redis 获取接口白名单,在白名单内的接口放行,反之拒绝掉。
该方案的好处是,对业务代码零侵入,只需要维护好白名单列表即可;
不足之处在于,白名单的维护是一个持续性投入的工作,在很多公司,业务开发无法直接触及到 redis,只能提工单申请,增加了开发成本;另外,每次请求进来,都需要判断白名单,增加了系统响应耗时,考虑到正常情况下外部进来的请求大部分都是在白名单内的,只有极少数恶意请求才会被白名单机制所拦截,所以该方案的性价比很低。
3. 方案三 网关 + AOP
相比于方案二对接口进行白名单判断而言,方案三是对请求来源进行判断,并将该判断下沉到业务侧。避免了网关侧的逻辑判断,从而提升系统响应速度。
我们知道,外部进来的请求一定会经过网关再被分发到具体的业务侧,内部服务间的调用是不用走外部网关的(走 k8s 的 service)。
根据这个特点,我们可以对所有经过网关的请求的header里添加一个字段,业务侧接口收到请求后,判断header里是否有该字段,如果有,则说明该请求来自外部,没有,则属于内部服务的调用,再根据该接口是否属于内部接口来决定是否放行该请求。
该方案将内外网访问权限的处理分布到各个业务侧进行,消除了由网关来处理的系统性瓶颈;同时,开发者可以在业务侧直接确定接口的内外网访问权限,提升开发效率的同时,增加了代码的可读性。
当然该方案会对业务代码有一定的侵入性,不过可以通过注解的形式,最大限度的降低这种侵入性。
具体实操
下面就方案三,进行具体的代码演示。
首先在网关侧,需要对进来的请求header添加外网标识符: from=public
@Component
public class AuthFilter implements GlobalFilter, Ordered {
@Override
public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
return chain.filter(
exchange.mutate().request(
exchange.getRequest().mutate().header("id", "").header("from", "public").build())
.build()
);
}
@Override
public int getOrder () {
return 0;
}
}
接着,编写内外网访问权限判断的AOP和注解
@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect {
@Pointcut ( "@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
public void onlyIntranetAccessOnClass () {}
@Pointcut ( "@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
public void onlyIntranetAccessOnMethed () {
}
@Before ( value = "onlyIntranetAccessOnMethed() || onlyIntranetAccessOnClass()" )
public void before () {
HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
String from = hsr.getHeader ( "from" );
if ( !StringUtils.isEmpty( from ) && "public".equals ( from )) {
log.error ( "This api is only allowed invoked by intranet source" );
throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
}
}
}
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface OnlyIntranetAccess {
}
最后,在只能内网访问的接口上加上@OnlyIntranetAccess注解即可
@GetMapping ( "/role/add" )
@OnlyIntranetAccess
public String onlyIntranetAccess() {
return "该接口只允许内部服务调用";
}
你学会了吗?
如果您发现该资源为电子书等存在侵权的资源或对该资源描述不正确等,可点击“私信”按钮向作者进行反馈;如作者无回复可进行平台仲裁,我们会在第一时间进行处理!
- 最近热门资源
- 桌面通用(全架构)【在双系统环境下隐藏Windows启动菜单】操作指南 2065
- 银河麒麟桌面操作系统V10(SP1)2203-如何进行远程桌面互访? 1998
- 银河麒麟桌面操作系统【保留数据盘重装系统】 1808
- 麒麟系统各种原因开不了机解决(合集) 1598
- 桌面通用(全架构)【rpm包转成deb包】操作方法 932
- 银河麒麟桌面操作系统 V10-SP1 双系统安装 efi 分区问题 916
- 统信系统安装(合集) 854
- 统信桌面专业版【手动分区安装UOS系统】介绍 846
- 统启动异常几种类型(initramfs 模式) 689
- 最近下载排行榜
- 桌面通用(全架构)【在双系统环境下隐藏Windows启动菜单】操作指南 0
- 银河麒麟桌面操作系统V10(SP1)2203-如何进行远程桌面互访? 0
- 银河麒麟桌面操作系统【保留数据盘重装系统】 0
- 麒麟系统各种原因开不了机解决(合集) 0
- 桌面通用(全架构)【rpm包转成deb包】操作方法 0
- 银河麒麟桌面操作系统 V10-SP1 双系统安装 efi 分区问题 0
- 统信系统安装(合集) 0
- 统信桌面专业版【手动分区安装UOS系统】介绍 0
- 统启动异常几种类型(initramfs 模式) 0
prtyaa 收益393.72元
zlj141319 收益221.27元
1843880570 收益214.2元
IT-feng 收益213.03元
风晓 收益208.24元
777 收益172.82元
Fhawking 收益106.6元
信创来了 收益105.89元
克里斯蒂亚诺诺 收益91.08元
技术-小陈 收益79.5元
