一、背景

本文主要讲述微服务模式，API网关和后端服务的分工与协调。我们采用kong作为API网关，承担的是非功能性的工作，包括Token校验、cors跨域、接口开放、限流、监控、流量染色等。

Kong自带的有一些插件，详见下图，我们用到的主要有：

Authentication

Key Auth

Security

Acl、Cors、Ip Restriction

Traffic Control

Rate Limiting

Analytics & Monitoring

Prometheus

kong插件.png

• Key Auth 在http header里传入api key字段，并且校验
• Cors 解决前后端的跨域问题
• Ip Restriction 基于IP的限流
• Prometheus 采集调用次数与耗时的指标

自定义插件

• auth 进行token校验、签名校验
• Canary Release 灰度发布，用来对流量进行染色
• Upstream 接口开放，按需配置，让你的接口更加安全
• Rewrite 对接口的URI进行正则匹配，替换或截取

二、目标

• 后端服务做到无状态的
• 便于弹性伸缩
• 提高接口的安全性

三、服务调用整体框架

这里以某个后端服务为例，梳理了内外网、服务之间的调用链路。

image.png

• 内网调用
  要么走内网域名，要么通过consul服务发现。 当然这里也涉及到内部的调用安全问题，暂时未纳入考虑范围。
  内网网关也选择Kong的原因是需要对内网流量进行染色，适用于灰度发布。

• 外网调用
  前端调用，可能是没有token或签名，还需要解决跨域问题（建议将资源都发布到oss，一次性做好跨域处理）
  端的调用，一般都是需要token和签名的，会由Kong去调用认证服务，校验合法性，并返回userId，透传到后端服务。

• 角色权限
  除了token的合法性外，还有userId和token是否一致、用户的角色是否能够访问某个接口、不同的角色能够访问的资源不同（需要做数据的过滤或区分）。
  目前平台是把权限这块下沉到具体的服务自己实现。所有后文，我会总结下如何简单实现。

• 应用监控
  采用ip + port的方式，适用于所有的可观测性指标的采集。

• 接口测试
  建议使用内网的ip+port的方式，当然你还需要对内网域名和外网域名下的访问做回归测试，甚至是不同的客户端应用版本，也需要做回归测试。

四、域名的管理

假定公司有三套环境，生产、测试和开发，对应的内网域名都是一样的，外网域名分别是xxx.net / xxx.test.com / xxx.dev.com。

内网域名进来的请求，都不需要token校验，但还是需要解决跨域问题，上图这一点没有全部描述出来。

外网域名进来的请求，除了登录接口、获取短信验证码等不需要token校验外，都是需要由kong做请求拦截的。

当然，能够走consul服务发现的服务之间调用，尽量走consul了。

五、权限的简单实现

编写自己的自定义注解，并在接口层使用该注解；拦截器中扫描到自定义的注解，将http header透传下来的userId，查询它的权限及角色； 进行权限的校验，并将用户信息保存在上下文里。

5.1、自定义注解

/**
 * 权限限制.
 *
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PermissionLimit {

    /**
     * 权限校验(默认true)
     */
    boolean limit() default true;

    /**
     * 要求的权限标签列表
     *
     * @return
     */
    AuthorityEnum[] authorityTagSet() default {AuthorityEnum.ADMIN};

}

5.2、引用注解

    @PermissionLimit(authorityTagSet = {AuthorityEnum.MANAGER, AuthorityEnum.ADMIN})

5.3、角色的枚举

import org.apache.commons.lang3.StringUtils;

import java.util.Arrays;
import java.util.Collections;
import java.util.Map;
import java.util.function.Function;

import static java.util.stream.Collectors.toMap;

/**
 * 权限枚举
 *
 * @author Administrator
 */
public enum AuthorityEnum {
    /**
     * 超级管理员
     */
    ADMIN("admin", "超级管理员"),
    /**
     * 管理员
     */
    MANAGER("auditor", "审核员"),
    /**
     * 用户
     */
    USER("user", "用户");

    private String code;

    private String name;

    AuthorityEnum(String code, String name) {
        this.code = code;
        this.name = name;
    }


    public String getCode() {
        return code;
    }

    public String getName() {
        return name;
    }

    public static String getName(String code) {
        return CODE_MAP.containsKey(code) ? CODE_MAP.get(code).getName() : null;
    }

    private static final Map<String, AuthorityEnum> CODE_MAP =
            Collections.unmodifiableMap(Arrays.stream(values()).collect(toMap(AuthorityEnum::getCode, Function.identity(), (v1, v2) -> v2)));

    public static AuthorityEnum of(String ordinal) {
        if(StringUtils.isEmpty(ordinal) || !CODE_MAP.containsKey(ordinal)){
            return USER;
        }
        return CODE_MAP.get(ordinal);
    }

}

5.4、权限拦截器

import cn.hutool.core.collection.CollectionUtil;
import cn.hutool.core.util.NumberUtil;
import cn.hutool.core.util.StrUtil;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.Objects;
import java.util.Set;
import java.util.stream.Collectors;

/**
 * 权限拦截
 *
 * @author zhuwenping
 */
@Slf4j
@Component
public class PermissionInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (!(handler instanceof HandlerMethod)) {
            return super.preHandle(request, response, handler);
        }

        HandlerMethod method = (HandlerMethod) handler;
        PermissionLimit permission = method.getMethodAnnotation(PermissionLimit.class);
        if (Objects.nonNull(permission)) {
            //0、是否开启校验权限，如果否，则跳过此步骤。
            if (!permission.limit()) {
                return super.preHandle(request, response, handler);
            }

            AuthorityEnum[] authorityTagArray = permission.authorityTagSet();
            Set<AuthorityEnum> authorityTagSet = Arrays.stream(authorityTagArray).collect(Collectors.toSet());

            //1、从token中解析出当前登录用户的userId
            String authUserIdStr = request.getHeader(JwtAuthHeaders.AUTH_USER_ID);
            Precondition.isTrue(StrUtil.isNotBlank(authUserIdStr), "用户未登录");
            Precondition.isTrue(NumberUtil.isNumber(authUserIdStr), "无效的用户ID");

            //2、查询用户的权限标签
            UserDTO userDTO = userService.getUser(Long.parseLong(authUserIdStr));
            Precondition.isTrue(Objects.nonNull(userDTO), "用户不存在");
            if (CollectionUtil.isNotEmpty(authorityTagSet)) {
                Precondition.isTrue(authorityTagSet.contains(AuthorityEnum.of(userDTO.getAuthorityTag())), "用户的权限不足");
            }

            //3、把用户的权限保存到线程上下文
            UserAuthorityThreadLocal.setAuthority(AuthorityEnum.of(userDTO.getAuthorityTag()));
        }

        return super.preHandle(request, response, handler);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        log.info("进入到拦截器中:afterCompletion() 方法中");
        // remove线程上下文中的用户权限
        UserAuthorityThreadLocal.remove();
    }
}

5.5、用户信息的上下文

/**
 * 用户权限保存至线程上下文.
 *
 */
public class UserAuthorityThreadLocal {

    static InheritableThreadLocal<AuthorityEnum> authorityContext = new InheritableThreadLocal<AuthorityEnum>() {
        @Override
        protected AuthorityEnum initialValue() {
            return super.initialValue();
        }
    };

    public static void setAuthority(AuthorityEnum authority) {
        authorityContext.set(authority);
    }

    public static void remove() {
        authorityContext.remove();
    }

    public static AuthorityEnum getAuthority() {
        return authorityContext.get();
    }
}

5.6、使用示例

//1、if/else判断，程序走向不同的逻辑
if (AuthorityEnum.ADMIN.equals(UserAuthorityThreadLocal.getAuthority()) || AuthorityEnum.MANAGER.equals(UserAuthorityThreadLocal.getAuthority())) {
 //
 } else {
  //
 }

//2、流计算中作filter数据过滤
List<QueryQuestionRes> sortedList = randomList.stream()
                    .filter(q -> AuthorityEnum.ADMIN.equals(UserAuthorityThreadLocal.getAuthority()))
                    .collect(Collectors.toList());

六、待补充的部分

• 灰度发布，流量染色
• http header中的userId透传
• userId和token是否一致的问题
• kong的自定义插件

Kong的自定义插件

• kong的可观测性，除了Prometheus能够采集的指标外，我们还开发了打印日志功能，将一些异常情况，输出到指定的文件，然后上报到ELK。
• Kong的upsteam中的target需要和consul中的服务节点保持一致，做到实时地动态更新，减少运维过程中带来的不必要的错误。建议在发布过程中，调用kong 的 api接口，添加或删除target。 这样，你监控了consul中的服务节点，如果是健康的，也就可以保证upstream的target节点也是健康无误。
• 流量染色插件，这里的配套实现离不开java agent技术。