你是否也存在过这样的需求,想要公开一个接口到网络上。但是还得加点权限,否则被人乱调用就不好了。这个权限验证的过程,最好越简单越好,可能只是对比两个字符串相等就够了。一般情况下我们遇到这种需要,就是在函数实现或者添加一个全局的拦截器就够了。但是还是需要自己来写那部分虽然简单但是很啰嗦的代码。那么存不存在一种方式,让我只管写我的代码就完了,鉴权的事情交给其他人来做呢?

OpenAPI 一般情况下,就是允许企业内部提供对外接口的项目。你只管写你的接口,然后,在我这里注册一下,我来负责你的调用权限判定,如果他没有权限,我就告诉他没有权限,如果他存在权限,我就转调一下你的接口,然后把结果返回给他。其实情景是相似的,我们可以把这段需求抽象,然后做一个配置文件版的开放接口。

想做这件事情,其实Golang是一个非常不错的选择,首先,Golang对于这种转调的操作非常友好,甚至于,Golang语言本身就提供了一个反向代理的实现,我们可以直接使用Golang的原始框架就完全够用。
在简单分析一下我们的需求,其实很简单,监听的某一段Path之后,先判断有没有权限,没有权限,直接回写结果,有权限交给反向代理来实现,轻松方便。既然是这样,我们需要定义一下,路径转发的规则。

比如说我们尝试给这个接口添加一个,当然这只是其中一个接口,我们应该要支持好多个接口

http://api.qingyunke.com/api.php?key=free&appid=0&msg=hello%20world.

在他进入到我们的系统中的时候看上去可能是这样的。
http://localhost:5000/jiqiren/api.php?key=free&appid=0&msg=hello%20world.

所以,在我们的配置里边也应该是支持多个节点配置的。

{

  "upstreams": [

    {

      "upstream": "http://api.qingyunke.com",

      "path": "/jiqieren/",

      "trim_path": true,

      "is_auth": true

    }

  ],

  ...

}

upstreams:上游服务器

upstream:上游服务器地址

path:路径,如果以斜线结尾的话代表拦截所有以 /jiqiren/开头的链接

trim_path:剔除路径,因为上游服务器中其实并不包含 /jiqiren/ 这段的,所以要踢掉这块

is_auth:是否是授权链接

其实至此的上游的链接已经配置好了,下面我们来配置一下授权相关的配置。现在我实现的这个版本里边允许同时存在多个授权类型。满足任何一个即可进行接口的调用。我们先简单配置一个bearer的版本。

{

 ...

  "auth_items": {

    "Bearer": {

      "oauth_type": "BearerConfig",

      "configs": {

        "file": "bearer.json"

      }

    }

  }

}

Bearer 对应的Model的意思是说,要引用配置文件的类型,对应的文件是 bearer.json

对应的文件内容如下

{

  "GnPIymAqtPEodx2di0cS9o1GP9QEM2N2-Ur_5ggvANwSKRewH2DLmw": {

    "interfaces": [

      "/jiqieren/api.php"

    ],

    "headers": {

      "TenantId": ""

    }

  }

}

其实就是一个Key对应了他能调用那些接口,还有他给上游服务器传递那些信息。因为Token的其实一般不光是能不能调用,同时他还代表了某一个服务,或者说某一个使用者,对应的,我们可以将这些信息,放到请求头中传递给上游服务器。就可以做到虽然上游服务器,并不知道Token但是上游服务器知道谁能够调用它。

下面我们来说一下这个项目是如何实现的。其实,整个功能简单的描述起来就是一个带了Token解析、鉴权的反向代理。但是本质上他还是一个反向代理,我们可以直接使用Golang自带的反向代理。

核心代码如下。

package main

import (

    "./Configs"

    "./Server"

    "encoding/json"

    "flag"

    "fmt"

    "io/ioutil"

    "log"

    "net/http"

    "net/http/httputil"

    "net/url"

    "os"

    "strings"

)

func main() {

    var port int

    var config string

    flag.IntVar(&port, "port", , "server port")

    flag.StringVar(&config, "config", "", "mapping config")

    flag.Parse()

    if config == "" {

        log.Fatal("not found config")

    }

    if fileExist(config) == false {

        log.Fatal("not found config file")

    }

    data, err := ioutil.ReadFile(config)

    if err != nil {

        log.Fatal(err)

    }

    var configInstance Configs.Config

    err = json.Unmarshal(data, &configInstance)

    if err != nil {

        log.Fatal(err)

    }

    auths := make(map[string]Server.IAuthInterface)

    if configInstance.AuthItems != nil {

        for name, configItem := range configInstance.AuthItems {

            auth_item := Server.GetAuthFactoryInstance().CreateAuthInstance(configItem.OAuthType)

            if auth_item == nil {

                continue

            }

            auth_item.InitWithConfig(configItem.Configs)

            auths[strings.ToLower(name)] = auth_item

            log.Println(name, configItem)

        }

    }

    for i := ; i < len(configInstance.Upstreams); i++ {

        up := configInstance.Upstreams[i]

        u, err := url.Parse(up.Upstream)

        log.Printf("{%s} => {%s}\r\n", up.Application, up.Upstream)

        if err != nil {

            log.Fatal(err)

        }

        rp := httputil.NewSingleHostReverseProxy(u)

        http.HandleFunc(up.Application, func(writer http.ResponseWriter, request *http.Request) {

            o_path := request.URL.Path

            if up.UpHost != "" {

                request.Host = up.UpHost

            } else {

                request.Host = u.Host

            }

            if up.TrimApplication {

                request.URL.Path = strings.TrimPrefix(request.URL.Path, up.Application)

            }

            if up.IsAuth {

                auth_value := request.Header.Get("Authorization")

                if auth_value == "" {

                    writeUnAuthorized(writer)

                    return

                }

                sp_index := strings.Index(auth_value, " ")

                auth_type := auth_value[:sp_index]

                auth_token := auth_value[sp_index+:]

                if auth_instance, ok := auths[strings.ToLower(auth_type)]; ok {

                    err, headers := auth_instance.GetAuthInfo(auth_token, o_path)

                    if err != nil {

                        writeUnAuthorized(writer)

                    } else {

                        if headers != nil {

                            for k, v := range headers {

                                request.Header.Add(k, v)

                            }

                        }

                        rp.ServeHTTP(writer, request)

                    }

                } else {

                    writeUnsupportedAuthType(writer)

                }

            } else {

                rp.ServeHTTP(writer, request)

            }

        })

    }

    log.Printf("http server start on :%d\r\n", port)

    http.ListenAndServe(fmt.Sprintf(":%d", port), nil)

    log.Println("finsh")

}

func writeUnsupportedAuthType(writer http.ResponseWriter) () {

    writer.Header().Add("Content-Type", "Application/json")

    writer.WriteHeader(http.StatusBadRequest)

    writer.Write([]byte("{\"status\":\"unsupported authorization\"}"))

}

func writeUnAuthorized(writer http.ResponseWriter) {

    writer.Header().Add("Content-Type", "Application/json")

    writer.WriteHeader(http.StatusUnauthorized)

    writer.Write([]byte("{\"status\":\"un-authorized\"}"))

}

func fileExist(filename string) bool {

    _, err := os.Stat(filename)

    return err == nil || os.IsExist(err)

}

最核心的代码不足150行,简单点说就是,在反向代理中间加上了鉴权的逻辑。当然鉴权的逻辑,我做了一层抽象,现在是通过配置文件来进行动态修改的。

package Server

import (

    "log"

    "strings"

)

type IAuthInterface interface {

    GetAuthInfo(token string, url string) (err error, headers map[string]string)

    InitWithConfig(config map[string]string)

}

type AuthFactory struct {

}

var auth_factory_instance AuthFactory

func init() {

    auth_factory_instance = AuthFactory{}

}

func GetAuthFactoryInstance() *AuthFactory {

    return &auth_factory_instance

}

func (this *AuthFactory) CreateAuthInstance(t string) IAuthInterface {

    if strings.ToLower(t) == "bearer" {

        return &BeareAuth{}

    }

    if strings.ToLower(t) == "bearerconfig" {

        return &BearerConfigAuth{}

    }

    log.Fatalf("%s 是不支持的类型 \r\n", t)

    return nil

}
package Server

import (

    "encoding/json"

    "errors"

    "io/ioutil"

    "log"

)

type BearerConfigItem struct {

    Headers    map[string]string `json:"headers"`

    Interfaces []string          `json:"interfaces"`

}

type BearerConfigAuth struct {

    Configs map[string]*BearerConfigItem // token =》 config item

}

func (this *BearerConfigAuth) GetAuthInfo(token string, url string) (err error, headers map[string]string) {

    configItem := this.Configs[token]

    if configItem == nil {

        err = errors.New("not found token")

        return

    }

    if IndexOf(configItem.Interfaces, url) == - {

        err = errors.New("un-authorized")

        return

    }

    headers = make(map[string]string)

    for k, v := range configItem.Headers {

        headers[k] = v

    }

    return

}

func (this *BearerConfigAuth) InitWithConfig(config map[string]string) {

    cFile := config["file"]

    if cFile == "" {

        return

    }

    data, err := ioutil.ReadFile(cFile)

    if err != nil {

        log.Panic(err)

    }

    var m map[string]*BearerConfigItem

    //this.Configs = make(map[string]*BearerConfigItem)

    err = json.Unmarshal(data, &m)

    if err != nil {

        log.Panic(err)

    }

    this.Configs = m

}

func IndexOf(array []string, item string) int {

    for i := ; i < len(array); i++ {

        if array[i] == item {

            return i

        }

    }

    return -

}

当然了,其实这个只适合内部简单使用,并不适合对外的真实的OpenAPI,因为Token现在太死了,Token应该是另外一个系统(鉴权中心)里边的处理的。包括企业自建应用的信息创建、Token的兑换、刷新等等。并且,不光是业务逻辑,还有非常强烈的性能要求,毕竟OpenAPI可以说是一个企业公开接口的门户了,跟这种软件打交道,性能也不能差了(我们公司这边我们团队也做了这么一个系统,鉴权接口可以单机1W QPS,响应时间4ms),当然也是要花费不少心思的。

最后,这个项目已经开源了,给大家做个简单的参考。

https://gitee.com/anxin1225/OpenAPI.GO

如何使用Golang实现一个API网关的更多相关文章

  1. 使用 Node.js 搭建一个 API 网关

    原文地址:Building an API Gateway using Node.js 外部客户端访问微服务架构中的服务时,服务端会对认证和传输有一些常见的要求.API 网关提供共享层来处理服务协议之间 ...

  2. C# 开源一个基于 yarp 的 API 网关 Demo,支持绑定 Kubernetes Service

    关于 Neting 刚开始的时候是打算使用微软官方的 Yarp 库,实现一个 API 网关,后面发现坑比较多,弄起来比较麻烦,就放弃了.目前写完了查看 Kubernetes Service 信息.创建 ...

  3. 开源API网关,你选对了么?

    开源API网关,你选对了么? api网关的本质 不用扯那么多,也不用画图,一句话说清楚 api网关:流量总入口,得以集中控制! 就这么简单 api网关协议上最基本要支持HTTP 和 WebSocket ...

  4. 使用API网关构建微服务

    使用传统的异步回调方法编写API组合代码会让你迅速坠入回调地狱.代码会变得混乱.难以理解且容易出错.一个更好的方法是使用响应式方法以一种声明式样式编写API网关代码.响应式抽象概念的例子有Scala中 ...

  5. 微服务架构下的API网关

    顾名思义,是出现在系统边界上的一个面向API的.串行集中式的强管控服务,这里的边界是企业IT系统的边界,主要起到隔离外部访问与内部系统的作用.在微服务概念的流行之前,API网关的实体就已经诞生了,例如 ...

  6. 微服务从设计到部署(二)使用 API 网关

    链接:https://github.com/oopsguy/microservices-from-design-to-deployment-chinese 译者:Oopsguy 本书的七个章节是关于设 ...

  7. Ocelot API网关的实现剖析

    在微软Tech Summit 2017 大会上和大家分享了一门课程<.NET Core 在腾讯财付通的企业级应用开发实践>,其中重点是基于ASP.NET Core打造可扩展的高性能企业级A ...

  8. 谈谈微服务中的 API 网关(API Gateway)

    前言 又是很久没写博客了,最近一段时间换了新工作,比较忙,所以没有抽出来太多的时间写给关注我的粉丝写一些干货了,就有人问我怎么最近没有更新博客了,在这里给大家抱歉. 那么,在本篇文章中,我们就一起来探 ...

  9. 【微服务】之六:轻松搞定SpringCloud微服务-API网关zuul

    通过前面几篇文章的介绍,我们可以轻松搭建起来微服务体系中比较重要的几个基础构建服务.那么,在本篇博文中,我们重点讲解一下,如何将所有微服务的API同意对外暴露,这个就设计API网关的概念. 本系列教程 ...

随机推荐

  1. Powershell 输出信息过多,结尾显示省略号

    有时候我们通过powershell指令去查询某些信息时,因为输出结果过多,导致一部分重要信息被省略号代替,如下图 面对这种情况无论是 |fl 还是  out-file 亦或是 export-csv都无 ...

  2. 数据库里账号的密码,需要怎样安全的存放?—— 密码哈希(Password Hash)

    最早在大学的时候,只知道用 MD5 来存用户的账号的密码,但其实这非常不安全,而所用到的哈希函数,深入挖掘,也发现并不简单-- 一.普通的 Hash 函数 哈希(散列)函数是什么就不赘述了. 1.不推 ...

  3. 2019-05-19 Python之第一个爬虫和测试

    一.使用request和get访问某个网页20次并且打印返回状态,内容   扩展:常见状态码含义 200 - 服务器成功返回网页,404 - 请求的网页不存在,403(禁止)服务器拒绝请求,404(未 ...

  4. 使用snapjs实现svg路径描边动画

    一,snap.svg插件在近几天,突然接到一个需求,内容是要在网页上写一个路径的动画,还需要可以随意控制动画的速度,开始于结束,本来是一个图片可以解决的问题,结果就这样变难了呀,在网上查一会之后,突然 ...

  5. 10个步骤教你如何安装Anaconda安装,Python数据分析入门必看

    前言 文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. 作者:小白 PS:如有需要Python学习资料的小伙伴可以加点击下方链接自行 ...

  6. Wireshark的两种过滤器与BPF过滤规则

    Wirshark使用的关键就在于过滤出想要的数据包,下面介绍怎么过滤. 抓包过滤器 Wirshark有两种过滤器,一个是抓包过滤器,一个是显示过滤器,他们之间的区别在于抓包过滤器只抓取你设置的规则,同 ...

  7. 通达OA任意用户登录 漏洞复现

    0x00 漏洞简介 通达OA国内常用的办公系统,使用群体,大小公司都可以,其此次安全更新修复的高危漏洞为任意用户登录漏洞.攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接以任意用户身份登录到系 ...

  8. element-ui修改自定义主题

    官方文档:https://element.eleme.cn/#/zh-CN/component/custom-theme 简单更换主题色 打开:在线主题编辑器,仅修改主题色,点击右上角[切换主题色], ...

  9. Ubuntu初次使用的问题

    问题:正在等待packagekitd退出 解决办法:systemctl stop packagekit   或者 systemctl disable packagekit 问题:普通用户切换root权 ...

  10. bootstrop日历

    https://blog.csdn.net/cuixiaobo521/article/details/77880633