业务开发时,接口不能对外暴露怎么办?

于 2024-03-29 15:39:25 发布
阅读量364 收藏 10
点赞数 4
文章标签: 网络 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyingboaini/article/details/137146954
版权
本文讨论了接口不能对外暴露的几种常见原因,如安全性、商业保密和合规需求。提出了三种解决方案,包括内外网接口微服务隔离、网关配合Redis白名单机制和AOP进行访问权限判断。文章还提供了方案三的具体代码演示,展示了如何通过AOP注解实现接口的内网访问权限控制。
摘要由CSDN通过智能技术生成

问:为啥不能对外暴露呢?

接口不能对外暴露可能有多种原因。其中一些常见的原因包括:
1、安全性考虑:某些接口可能包含敏感信息或者涉及到系统的核心功能,因此需要限制对其访问,以确保系统的安全性。
2、商业考虑:有些接口可能包含了公司的商业机密或者核心竞争力,因此需要限制对其访问,以防止被竞争对手获取关键信息。
3、合规要求:根据某些行业标准或者法律法规的要求,某些接口可能需要进行严格的权限管理和监控,以确保符合相关的合规要求。
今天,我们就来理一理这个问题,从几个可行的方案中,挑选一个来实现。

方案:

(一)内外网接口微服务隔离

  • 将对外暴露的接口和对内暴露的接口分别放到两个微服务上,一个服务里所有的接口均对外暴露,另一个服务的接口只能内网服务间调用。
  • 该方案需要额外编写一个只对内部暴露接口的微服务,将所有只能对内暴露的业务接口聚合到这个微服务里,通过这个聚合的微服务,分别去各个业务侧获取资源。
  • 该方案,新增一个微服务做请求转发,增加了系统的复杂性,增大了调用耗时以及后期的维护成本。

(二)网关 + redis 实现白名单机制

  • 在 redis 里维护一套接口白名单列表,外部请求到达网关时,从 redis 获取接口白名单,在白名单内的接口放行,反之拒绝掉。
    该方案的好处是,对业务代码零侵入,只需要维护好白名单列表即可;

  • 不足之处在于,白名单的维护是一个持续性投入的工作,在很多公司,业务开发无法直接触及到 redis,只能提工单申请,增加了开发成本;另外,每次请求进来,都需要判断白名单,增加了系统响应耗时,考虑到正常情况下外部进来的请求大部分都是在白名单内的,只有极少数恶意请求才会被白名单机制所拦截,所以该方案的性价比很低。

(三)方案三 网关 + AOP
相比于方案二对接口进行白名单判断而言,方案三是对请求来源进行判断,并将该判断下沉到业务侧。避免了网关侧的逻辑判断,从而提升系统响应速度。
我们知道,外部进来的请求一定会经过网关再被分发到具体的业务侧,内部服务间的调用是不用走外部网关的(走 k8s 的 service)。
根据这个特点,我们可以对所有经过网关的请求的header里添加一个字段,业务侧接口收到请求后,判断header里是否有该字段,如果有,则说明该请求来自外部,没有,则属于内部服务的调用,再根据该接口是否属于内部接口来决定是否放行该请求。
该方案将内外网访问权限的处理分布到各个业务侧进行,消除了由网关来处理的系统性瓶颈;同时,开发者可以在业务侧直接确定接口的内外网访问权限,提升开发效率的同时,增加了代码的可读性。
当然该方案会对业务代码有一定的侵入性,不过可以通过注解的形式,最大限度的降低这种侵入性。

具体实操

下面就方案三,进行具体的代码演示。

首先在网关侧,需要对进来的请求header添加外网标识符: from=public

@Component
public class AuthFilter implements GlobalFilter, Ordered {
    @Override
    public Mono < Void > filter ( ServerWebExchange exchange, GatewayFilterChain chain ) {
         return chain.filter(
         exchange.mutate().request(
         exchange.getRequest().mutate().header("id", "").header("from", "public").build())
         .build()
         )}

    @Override
    public int getOrder () {
        return 0;
    }
 }

接着,编写内外网访问权限判断的AOP和注解

@Aspect
@Component
@Slf4j
public class OnlyIntranetAccessAspect {
@Pointcut ( "@within(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
public void onlyIntranetAccessOnClass () {}
@Pointcut ( "@annotation(org.openmmlab.platform.common.annotation.OnlyIntranetAccess)" )
public void onlyIntranetAccessOnMethed () {
}

@Before ( value = "onlyIntranetAccessOnMethed() || onlyIntranetAccessOnClass()" )
public void before () {
    HttpServletRequest hsr = (( ServletRequestAttributes ) RequestContextHolder.getRequestAttributes()) .getRequest ();
    String from = hsr.getHeader ( "from" );
    if ( !StringUtils.isEmpty( from ) && "public".equals ( from )) {
       log.error ( "This api is only allowed invoked by intranet source" );
       throw new MMException ( ReturnEnum.C_NETWORK_INTERNET_ACCESS_NOT_ALLOWED_ERROR);
           }
    }
}

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface OnlyIntranetAccess {
}

最后,在只能内网访问的接口上加上@OnlyIntranetAccess注解即可

@GetMapping ( "/role/add" )
@OnlyIntranetAccess
public String onlyIntranetAccess() {
    return "该接口只允许内部服务调用";
}
爱写Bug的小孙
关注
11:第二章:架构后端项目:7:api接口暴露;(使用【api接口工程】管理【微服务的接口】)
小枯林的博客
06-21 1565
使用【api接口工程】管理【微服务的接口
api接口暴露
我是小仙女呢~的博客
05-17 3444
测试接口是否正常,我们可以使用测试工具:postman insomnia BE: BackEnd 后端 express中一个路由即一个接口,二级路由写在routes文件夹里面对应的.js文件里 api接口暴露的方式有两种: 第一种: 使用模板进行暴露,但是要将数据做字符串转换,然后使用ejs的非转义输出 router.get('/',function( req,res,next ...
接口暴露
AXiBaCccccccc的博客
07-19 403
普通版 如: 增 : http://localhost:3000/shopcar/add 删 : http://localhost:3000/shopcar/del 改 : http://localhost:3000/shopcar/update 查 : http://localhost:3000/shopca...
接口的暴漏
pvmsmfchcs的博客
01-07 321
面向接口设计bai 最大du的一个理由就是减少耦zhi合性。如果dao程序中的各个组件以接zhuan口而非具体的shu类相互衔接,那么对组件进行替换就轻而易举。这个特性可以使你简单的完成组件替换,而无需触及应用程序中的其他部分代码;当然,它还可以使得应用程序无需关心具体的组件实现而平滑运转。 此的松耦合机制的最大好处,就是可以为测试提供更多的便捷。通过面向接口设计,我们可以用同一个接口的虚拟实现来替代真实实现,从而使得测试的灵活度得到提升 低耦合,高内聚. 好处:易于维护,可读性高,方便扩展,前人总结之经验
API接口安全忽视:外部暴露的API接口未纳入防火墙策略
最新发布
ZOMO的博客
02-08 1300
本文从API接口面临的外泄风险和影响因素入手分析了当前存在的问题和挑战,并从三个方面提出了相应的改善和提升API接口安全的策略和建议,希望对相关从业者有所帮助。同需要提醒的是,API接口的安全管理并非一次性任务,而是一个持续的过程和要求不断更新和完善。只有刻关注行业动态和政策法规的变化及调整自己的安全管理思路才能避免重蹈覆辙,切实保障整个系统的安全稳定运行。使用自动化管理工具多品牌异构防火墙统一管理多品牌、多型号防火墙统一管理;确保所有设备按同一标准配置,提升安全性;
面试官:业务开发接口不能对外暴露怎么办?
m0_71777195的博客
10-19 521
业务开发候,经常会遇到某一个接口不能对外暴露,只能内网服务间调用的实际需求。面对这样的情况,我们该如何实现呢?今天,我们就来理一理这个问题,从几个可行的方案中,挑选一个来实现。将对外暴露接口和对内暴露接口分别放到两个微服务上,一个服务里所有的接口对外暴露,另一个服务的接口只能内网服务间调用。该方案需要额外编写一个只对内部暴露接口的微服务,将所有只能对内暴露业务接口聚合到这个微服务里,通过这个聚合的微服务,分别去各个业务侧获取资源。
业务开发接口不能对外暴露的解决方案
m0_53914150的博客
12-03 1495
1.内外网接口微服务隔离 将对外暴露接口和对内暴露接口分别放到两个微服务上,一个服务里所有的接口对外暴露,另一个服务的接口只能内网服务间调用。 该方案需要额外编写一个只对内部暴露接口的微服务,将所有只能对内暴露业务接口聚合到这个微服务里,通过这个聚合的微服务,分别去各个业务侧获取资源。 该方案,新增一个微服务做请求转发,增加了系统的复杂性,增大了调用耗以及后期的维护成本。 2.网关 + redis 实现白名单机制 在 redis 里维护一套接口白名单列表,外部请求到达网关,从 redi
Java开发面试基础,java对外暴露接口http
m0_56662340的博客
05-15 1598
前言 在大数据、高并发的系统中,为了突破瓶颈,会将系统进行水平扩展和垂直拆分,形成独立的服务。每个独立的服务背后,可能是一个集群在对外提供服务。这就会碰到一个问题,整个系统是由多个服务(子系统)组成的,数据需要在各个服务中不停流转。如果数据在各个子系统中传输,速度过慢,就会形成瓶颈,降低整个系统的性能。从而就形成了以Kafka为中心的解决方案! 因为阅读Kafka源码重要性就不言而喻,今天小编就分享一份拼多多Kafka的源码笔记,现已面向大众全面开源!(为了不影响大家的阅读体验,免费获取方式放在了文末!)
java 接口暴露函数
燃烧那滴泪的专栏
06-21 2306
interface A{       void method1();   }   class B{       private void f(){System.out.println("f()");}       private void g(){System.out.println("g()");}       public A getA(){           return n
接口实现服务Service_暴露需要暴露的方法
weixin_40790006的博客
04-16 3463
版权声明:本文为博主原创文章,未经博主允许不得转载。https://blog.csdn.net/weixin_40790006/article/details/79960181服务Service类:    只有绑定服务,取消绑定,会销毁服务。混合开启服务,不会package com.example.f405.iserviceaidltest.utils; import android.app....
接口封装之暴露内部过多
FreeCloud_InSky的专栏
09-17 1882
在软件开发中经常需要对自己写的类进行封装,接口给外部留下,而对实现细节进行隐藏。通常是留下一个头文件,给一个lib文件和dll文件(windows下)。但是这个头文件中也可能暴露过多的信息,能不能只留下公共接口,其余有关基类的信息一点都不暴露呢?在大牛的指点下,get到了这个有用的方法,记录在此,以防忘记。
java中如何暴露接口_JAVA语言之借助Gradle Plugin解决模块化开发中模块如何对外暴露接口...
weixin_30220707的博客
03-02 949
本文主要向大家介绍了JAVA语言之借助Gradle Plugin解决模块化开发中模块如何对外暴露接口,通过具体的内容向大家展示,希望对大家学习JAVA语言有所帮助。直奔主题,在模块化开发中,模块间的数据交流大多数同学会采用以接口作为通信协议的方式。需要面对的问题有以下几点:接口由谁来维护?这个问题简单,由提供服务的模块来维护。接口怎么暴露?打成jar包,发布到maven。接口在哪里维护?现在可以参...
前端暴露后端接口及传参方式总结~
香菜的博客
08-23 3426
前后端传参
Dubbo接口延迟暴露(等spring初始化)的配置方法
lkforce
07-05 6149
dubbo的provider在启动可能会遇到这样的问题:在service中需要spring注入的bean还没有初始化完全,service就已经注册到了zookeeper了,请求就可以进到这个service,在相关的bean没搞定的情况下,会报空指针的异常。 service注册到zookeeper的节点是:spring解析到的候。这个候该service下的资源可能还没有注入完成。 解决方案
Spring开篇介绍-如果没有Spring如何对外暴露一个接口
探索科技 脚踏实地
08-27 2298
通过使用Servlet和Spring框架对外暴露一个Controller接口,Servlet需要配置一个web.xml,增加一个接口就需要增加一个映射关系,一个系统中接口很多,维护起来会很复杂。另外Servlet的接口类需要继承操作不友好,一个Controller类只能提供一个接口,这些问题在Spring中都不存在了,不需要维护web.xml文件,一个类中写不同的方法就可以提供多个接口了综上由此可见,Spring框架帮助开发同学解放双手,把一些复杂的编码操作变得简单容易。......
web api中不暴露方法,在控制器中写普通方法
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
05-13 639
在api中我们如果不想让控制器中的某个方法展现出来就可以吧方法设为私有的即可
SpringBoot如何暴露接口以供其他微服务使用
qq_37456205的博客
10-14 4322
由于是在vdi中编码,因此不方便截图,后续重新总结 1.在对应的service层编写提供别人使用的方法2.再指定的地方 提供对应的接口给别人使用(映射的url是在web层对应的url) @FeignClient(value = "ms-erp-mall-admin", configuration = {FeignApplyConfiguration.class}) value:指定FeignClient的名称,如果项目使用了Ribbon,name属性会作为微服务的名称,用于服务发现 configu.
ArcGIS二次开发:COM类与接口详解
- COM类与接口:COM类是实现特定功能的对象,接口则是类对外暴露的一组方法和属性,通过接口可以访问和操作类的功能。 2. COM编程 - 接口使用:如示例代码所示,通过`booklist`类创建`IBookList`接口的实例,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱写Bug的小孙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值