API 接口开放平台 Crabc 3.2 发布

2025 年 5 月 15 日，API 接口开放平台 Crabc 3.2 发布。

Crabc 是一款 API 接口开发平台、企业级接口管理和 SQL2API 平台。它支持动态数据源、动态 SQL 和标签，能接入多种 SQL 或 NoSQL 数据源，包括 MySQL、Oracle、达梦、TiDB、Hive、ES 和 MongoDB 等。用户可在线可视化编写 SQL 快速发布接口，并享受一键上下线、接口管理、代理转发、鉴权、限流、熔断和监控告警等一站式 API 数据服务。

Crabc 具有操作简单、功能丰富、扩展灵活等特点。其操作简单体现在可视化编写、动态 SQL、在线配置和预览、一键发布、上下线管理等方面。功能丰富表现为支持路由转发、条件标签、多数据源、数据脱敏、版本控制、权限认证、限流熔断、监控报表等。扩展灵活则是通过采用动态加载机制，可自定义扩展数据源、脚本查询和数据转换等。

Crabc API 接口开放平台的用户权限管理机制主要通过以下几个方面来实现：

• 多种权限认证方式：平台提供了多种权限认证方式，如 Code 认证、签名认证和 Token 认证等。
  • Code 认证：通过应用列表进行 Code 认证的应用创建管理，用户申请相关应用后会获得对应的 Code，在调用 API 时需携带该 Code 进行认证，以确定用户是否具有访问权限。
  • 签名认证：同样在应用列表中进行签名认证的应用创建管理，平台会为应用生成签名密钥。在 API 调用时，客户端需要使用该密钥对请求进行签名，服务端通过验证签名的有效性来确定请求是否合法。签名认证新增支持国密 SM3 加密，进一步增强了安全性13。
  • Token 认证：接口认证新增了 Token 认证方式，可以在上下文中提取参数4。用户在登录或申请权限后，平台会生成一个 Token 作为用户的身份凭证。用户在访问 API 接口时，需要在请求头或参数中携带该 Token，服务器端会对 Token 进行验证，确认用户的身份和权限后，才会允许其访问相应的 API 接口。
• 基于角色或用户的访问控制：虽然没有明确提及基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）等具体模型，但平台具有用户管理功能，可对不同用户进行区分。在申请审批流程中，不同用户具有不同的权限，如普通用户可以申请 Hub 中公开的 API，而发布者可以审批别人申请调用自己发布的接口，这在一定程度上实现了基于用户角色或属性的访问控制，即不同角色或属性的用户具有不同的权限来进行接口的申请、审批和调用等操作。
• 应用授权与密钥管理：平台上的 API 接口在进行调用前需要进行相关应用授权，用户必须带上授权应用的密钥才能正常请求接口。应用列表用于管理 Code 认证和签名认证的应用，并对 API 调用进行在线授权。通过这种方式，平台可以对每个应用的 API 访问权限进行精细管理，确保只有经过授权的应用才能访问相应的接口。
• 接口级别的权限控制：在接口管理功能中，用户可以对已发布的 API 接口进行上下线管理、编辑升级等操作。对于不同的用户或用户角色，可能会限制其对某些接口的操作权限，例如只有管理员或接口的所有者才能进行接口的删除或高级配置等操作，而普通用户只能进行接口的调用和查看相关信息等操作。