API 网关关键技术
一、客户端信息自动获取
用户在网关平台注册账号;用户进行 API 工单购买申请,申请通过后,用户可以进入 API 控制台;用户在 API 控制台进行 APP 应用的创建,平台为每个 APP 分配唯一授权码,用户自动获取 APP 授权码(APPkey、APPsecret)。
平台认证授权中心 API 根据如下规则,生成对应的 APPkey,APPsecret。
APPkey:字母和数字随机 32 位数字。
APPsecret:通过 MD5 对 APPkey 进行加密,密钥为“htzz”,可以根据需要进行调整;
二、获取调用令牌
通过网关平台账号、密码和 APP 授权码(APPkey、APPsecret)4 个参数,通过平认证授权中心 API 换取 access_token,用户可以直接通过控制台获取。
(一)令牌 token 获取
详细步骤如下:
1: 企业通过工单购买 API 资源。
2: 认证授权中心为 APP 颁发客户端认证信息。
3: 通过客户端信息与调用者信息换取换取令牌 token。
4: 通过认证授权生成随机 36 位令牌 token,同时把用户信息和可调用 API 资源权限信息保存在 tokenStore 中,为 token 调用准备认证基础数据。
5: 令牌 token 返给调用者(API 或者 WEB)
(二)令牌 token 认证规则
认证规则详细:
Ø 调用者,按照要求,携带参数 1:appkey,参数 2:token 以及 api 参数 ,进行 API 调用。
Ø 在认证授权中心检查 token 在 tokenStore 中是否存在,如果不存在,返回错误信息,调用结束。
Ø token 信息在 tokenStore 中存在,通过认证权限中心 filter 过滤器,对调用 API 资源进行权限判断,如果无调用权限,返回错误信息,调用结束。
Ø 有调用权限,则通过 Zuul 动态路由网关进行转发,调用真实 API,并返回结果,调用结束。
三、 shiro 权限管理
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相 当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。且 Shiro 的 API 也是非常简单,其基本功能点如下图所示
Authentication:身份认证/登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到 Web 环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率。
Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;Remember Me:记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
Shiro 不会去维护用户、维护权限;这些需要我们自己去设计/提供;然后通过 相应的接口注入给 Shiro 即可。
四、Zuul 动态网关路由
Zuul 是 Netflix 提供的一个开源组件,致力于在云平台上提供动态路由,监控,弹性,安全等边缘服务的框架。使用它来作为网关的重要组成部分,集动态路由,动态权限,限流配额等功能为一体,为其他部门的项目提供统一的外网调用管理,最终形成 API 网关产品。
Zuul 架构图:
在 zuul 中, 整个请求的过程是这样的,首先将请求给 zuulservlet 处理,zuulservlet 中有一个 zuulRunner 对象,该对象中初始化了 RequestContext:作为存储整个请求的一些数据,并被所有的 zuulfilter 共享。zuulRunner 中还有 FilterProcessor,FilterProcessor 作为执行所有的 zuulfilter 的管理器。FilterProcessor 从 filterloader 中获取 zuulfilter,而 zuulfilter 是被 filterFileManager 所加载,并支持 groovy 热加载,采用了轮询的方式热加载。有了这些 filter 之后,zuulservelet 首先执行的 Pre 类型的过滤器,再执行 route 类型的过滤器,最后执行的是 post 类型的过滤器,如果在执行这些过滤器有错误的时候则会执行 error 类型的过滤器。执行完这些过滤器,最终将请求的结果返回给客户端。
Zuul 默认路由经过路径 ( ZuulController -> ZuulServlet (preRoute() route() postRoute())-> (ZuulFilter(SimpleHostRoutingFilter 真正转发请求)) )。如果要实现动态路由,需覆写 zuul 默认实现的 SimpleRouteLocator 类的 locateRoutes 方法,路由信息从 DB 中获取,并继承实现自动的接口类 RefreshableRouteLocator 类的 refresh 方法。具体如下:
CustomRouteLocator(路由定位器类):
覆写父类的 locateRoutes 方法,实现从 DB 动态获取路由信息。
覆写 refresh 方法,实现刷新动态路由信息。
CustomZuulConfig(路由配置类): 注入自定义的路由定位器。
评论