摘要

API可謂扮演了“技術(shù)膠水”的角色，能幫助企業(yè)內(nèi)外進(jìn)行不同業(yè)務(wù)邏輯和不同數(shù)據(jù)的連接和整合雅潭，API市場正逐步形成一個新的生態(tài)系統(tǒng)，對于調(diào)用者來說李剖，能快速整合不同服務(wù)到自己的產(chǎn)品中，快速豐富產(chǎn)品功能兆龙；對提供者而言，能通過API將自己的服務(wù)敲董，專業(yè)能力和專業(yè)數(shù)據(jù)變現(xiàn)紫皇。

解決方案

隨著微服務(wù)架構(gòu)體系的建立，API網(wǎng)關(guān)扮演著獨(dú)木橋的角色腋寨，其出現(xiàn)在企業(yè)系統(tǒng)的邊界聪铺，承擔(dān)著企業(yè)內(nèi)部與企業(yè)外部交互通信的作用，它除了需要保證數(shù)據(jù)交換之外萄窜，還需要對接入客戶端身份認(rèn)證铃剔，防止數(shù)據(jù)篡改等業(yè)務(wù)鑒權(quán)的功能之外，還承擔(dān)了流控查刻、協(xié)議轉(zhuǎn)換等作用键兜，其架構(gòu)大概如下：

圖乃盜用王延炯大神的.png

在業(yè)界比較流行的api網(wǎng)關(guān)有Kong、Gravitee穗泵、Zuul等普气，其主要是針對rest api等來做的，協(xié)議轉(zhuǎn)換功能是沒有的

基于zuul與oauth2來構(gòu)建api網(wǎng)關(guān)

Oauth2

oauth2是一個搞授權(quán)的佃延，對于Api網(wǎng)關(guān)來說现诀，用oauth2來做業(yè)務(wù)鑒權(quán)是比較合適的選擇，其大概有幾種角色的定義：

1. 資源擁有者（resource owner）：能授權(quán)訪問受保護(hù)資源的一個實(shí)體履肃，可以是一個人仔沿，那我們稱之為最終用戶；
2. 資源服務(wù)器（resource server）：存儲受保護(hù)資源尺棋，客戶端通過access token請求資源封锉，資源服務(wù)器響應(yīng)受保護(hù)資源給客戶端；
3. 授權(quán)服務(wù)器（authorization server）：成功驗(yàn)證資源擁有者并獲取授權(quán)之后，授權(quán)服務(wù)器頒發(fā)授權(quán)令牌（Access Token）給客戶端烘浦。
4. 客戶端（client）：第三方應(yīng)用抖坪，也可以是它自己的官方應(yīng)用；其本身不存儲資源闷叉，而是資源擁有者授權(quán)通過后擦俐，使用它的授權(quán)（授權(quán)令牌）訪問受保護(hù)資源，然后客戶端把相應(yīng)的數(shù)據(jù)展示出來/提交到服務(wù)器握侧。

而對于Api網(wǎng)關(guān)來說蚯瞧，網(wǎng)關(guān)扮演了資源服務(wù)器及授權(quán)服務(wù)器的角色
集成oauth2比較簡單

• Pom依賴

<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
<version>2.0.12.RELEASE</version>
</dependency>
```

• 開啟授權(quán)服務(wù)器

@Configuration
@EnableAuthorizationServer
public class OAuth2ServerConfiguration extends AuthorizationServerConfigurerAdapter {
}

• 開啟資源服務(wù)器

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
}

基本上這三部就能把oauth2進(jìn)行完美的集成，還有其他方面的工作品擎，比如說token的存儲埋合，UserDetailsService、ClientDetailsService萄传、ClientRegistrationService具體實(shí)現(xiàn)甚颂，及WebSecurity的定義等
詳細(xì)可以查看<a >oauth2</a>

zuul

zuul是netfix的api 網(wǎng)關(guān)，主要特色有：filter的PRPE(pre,route,post,error)模型秀菱、groovy的fitler機(jī)制振诬，其中spring cloud對其有比較好的擴(kuò)展，但是spring cloud對其的擴(kuò)展感覺不是很完美衍菱，存在路由規(guī)則無法只能是通過配置文件來存儲赶么，而無法動態(tài)配置的目的，其中有一個人寫了一個starter插件來解決路由規(guī)則配置到Cassandra的問題脊串，詳細(xì)請看：<a >cassandra</a>,此插件針對的spring cloud zuul版本比較老辫呻，故我對他進(jìn)行改進(jìn)，將路由配置可以配置到mysql這樣的關(guān)系型數(shù)據(jù)庫中琼锋，詳細(xì)請看:<a >zuul</a>
改動點(diǎn)有：
1：對DiscoveryClientRouteLocator的重新覆蓋放闺，該類的作用就是從yml中讀取路由規(guī)則；

2：定義自己的Filter機(jī)制缕坎，這里主要是做了流控及協(xié)議轉(zhuǎn)化的工作雄人，這里主要是http->grpc的轉(zhuǎn)換；
LimitAccessFilter：利用redis令牌桶算法進(jìn)行流控
GrpcRemoteRouteFilter：http轉(zhuǎn)化為grpc的協(xié)議轉(zhuǎn)換

3：還有是添加路由到數(shù)據(jù)后念赶，通知zuul重新刷新路由規(guī)則础钠，通過spring的event來實(shí)現(xiàn)的；

以上就是用zuul和oauth2來構(gòu)建網(wǎng)關(guān)的一些實(shí)際經(jīng)驗(yàn)叉谜，僅拋磚引玉旗吁，其中api網(wǎng)關(guān)還有一些其他工作，比如服務(wù)編排停局，服務(wù)隔離等并沒有體現(xiàn)很钓，僅實(shí)現(xiàn)了限流香府、鑒權(quán)、協(xié)議轉(zhuǎn)換三個基本功能點(diǎn)码倦，而且與kong這樣的Nginx網(wǎng)關(guān)相比企孩，并發(fā)量支持比Kong要差好多，這點(diǎn)可以部署多節(jié)點(diǎn)來解決

詳細(xì)代碼 gateway

https://github.com/linking12/saluki/tree/develop/saluki-gateway