一、微服務網(wǎng)關的功能

一個高性能的分布式網(wǎng)關，負責將HTTP請求轉發(fā)到RPC服務、進行接口權限校驗、反作弊攔截等相關功能，如下圖所示。

定長Header包含的內容如上圖所示。

網(wǎng)關很重要的一個作用就是將外部的HTTP請求轉化為內部的RPC請求。

RPC的架構可以看下圖：

http://www.tjdsmy.cn/articles/8502a2cd50c9ade2327ca09ae0897fe1.html

RPC有如下框架：

目前RPC的實現(xiàn)有兩大類。

跟語言平臺綁定的開源 RPC 框架主要有下面幾種。

1.Dubbo：國內最早開源的 RPC 框架，由阿里巴巴公司開發(fā)并于 2011 年末對外開源，僅支持 Java 語言。

2.Motan：微博內部使用的 RPC 框架，于 2016 年對外開源，僅支持 Java 語言。

3.Tars：騰訊內部使用的 RPC 框架，于 2017 年對外開源，僅支持 C++ 語言。

4.Spring Cloud：國外 Pivotal 公司 2014 年對外開源的 RPC 框架，僅支持 Java 語言

而跨語言平臺的開源 RPC 框架主要有以下幾種。

1.gRPC：Google 于 2015 年對外開源的跨語言 RPC 框架，支持多種語言。

2.Thrift：最初是由 Facebook 開發(fā)的內部系統(tǒng)跨語言的 RPC 框架，2007 年貢獻給了 Apache 基金，成為 Apache 開源項目之一，支持多種語言。

3.hprose：一個MIT開源許可的新型輕量級跨語言跨平臺的面向對象的高性能遠程動態(tài)通訊中間件。它支持眾多語言:nodeJs, C++, .NET, Java, Delphi, Objective-C, ActionScript, JavaScript, ASP, PHP, Python, Ruby, Perl, Golang。

二、微服務網(wǎng)關的高性能設計

在介紹了API網(wǎng)關基本功能過后，接下來我們介紹設計出高性能的分布式網(wǎng)關的考慮點。

從增加吞吐量、降低延時的角度，實現(xiàn)網(wǎng)關的無狀態(tài)化是很關鍵的。

接下來，我們先看SpringBoot的WebServer實現(xiàn)網(wǎng)關。

在上圖中，Serverlet好理解，不再贅述。

Filter中包含跨域、反作弊、Session鑒權三大功能。

1.什么是跨域？

跨域指的是跨網(wǎng)絡domain訪問。例如客戶端是1.david.com。與，目標端是10.wei.com。從david.com到wei.com的訪問就叫跨域訪問。

2.什么是反作弊/風控？

客戶端有沒有權限，哪些用戶（uid）是黑名單，哪些ip是黑名單，哪些token是黑名單？

這些沒名單最好加載到網(wǎng)關的本地緩存。因此，在網(wǎng)關層內部，通常設置一個本地緩存，用于存儲hashmap。這樣客戶端請求到來以后，去haspmap去匹配。黑名單中存在則拒絕，不存在則放行。如果緩存不放在本地，會增加相響應延遲。但緩存中的內容需要定期更新。因此需要異步加載的機制。異步加載機制是異步計算出黑名單（通過訪問記錄的spark計算）

接下來，我們查看網(wǎng)關時序圖：

三、跨域的實現(xiàn)

接下來，我們先看一下跨域的代碼實現(xiàn)：

1.cross-origin resources sharing CROS：建立豁免清單

2.access-control-allow-credentials   是否允許cookike跨域

3.access-control-allow-origin   對http請求頭設置豁免

4.access-control-allow-method允許提交請求的方法

建立豁免清單：在代碼中，開啟跨域訪問，允許源端為1.david.com的域訪問請求。也就是說從這個源加載腳本或者API，可以訪問目標域。

容許Cookie跨域，做Session檢查

四、Session的無狀態(tài)設計

接下來，我們看session設計。

讀寫請求的上下文對象，我們稱之為session（username+password）。

session和登錄用戶數(shù)有關，有一個用戶登錄就有一個session。如果允許一個用戶多端登錄，那session會更多。因此session不能在網(wǎng)關上單機存儲。需要設置session的分布式。

Session的綁定。這種方法是有狀態(tài)的，不靠譜。

Session全復制，session多了后，這個方案不靠譜！

通過Redis存儲session：

Session存儲在客戶端：

接下來，我們介紹一下Session的生成算法。

Session是遺傳具有一定時效性的加密字符串字符串（通常有效期7天），通常由服務端生成和解析。

Session通常包含的字段有：deviceid、clientType、uid、ts、checksum等。總之要和業(yè)務相關。加密方案通常采用AES，加密和解析都在服務端。

五、網(wǎng)關的反作弊/風控設計

針對惡意流量，從網(wǎng)關層面進行攔截，反正對后端服務造成高并發(fā)壓力。Eileen防止誤傷，對黑名單數(shù)據(jù)定期釋放的能力。通過黑名單，規(guī)避爬蟲、網(wǎng)絡攻擊的問題。

黑名單可以緩存在網(wǎng)關內部的緩存，使用Key-List存儲。

在上面的方案中，如果業(yè)務量特別大時，使用進程內緩存就不靠譜。就需要將黑名單存在外部緩存，但這時候可以增加一個布隆過濾器。（http://www.tjdsmy.cn/post/6844904007790673933）

六、網(wǎng)關的路由邏輯設計

訪問請求通過網(wǎng)關的Filter層以后，就會進入Controller層。這時會先進行請求參數(shù)處理。對請求做一個解析，拿出請求的URI和parm參數(shù)。接下來通過RPC的框架調用ServiceName，然后調用Service的Method。

也就是，首先建立URI和Service的聯(lián)系，然后建立URI和Method的聯(lián)系。而URI就是一個請求包里的CMD。

上圖的核心實現(xiàn)：

掃描出URI對ServiceName的映射

RPC通過反射實現(xiàn)遠程調用（通過Invoker）

下面代碼是業(yè)務邏輯層的代碼。

客戶端調用方法如下：

api.wei.com/david/getSettleBillDetaild

網(wǎng)關通過掃描注解獲取映射關系。

下面代碼是網(wǎng)關上的。

路由的本質是通過URI找到method，通過反射進行Service的調用

但是，以上方法很不優(yōu)雅。主要問題在于，當我們業(yè)務邏輯層增加新的模塊時，需要重啟網(wǎng)關。

我們在業(yè)務邏輯層增加Proxy，他負責URI->Class.method的映射。將URI到ServerName的映射放到存儲層，如MySQL中。

通過上圖展示的邏輯，當業(yè)務邏輯層有新的模塊，網(wǎng)關也不需要重啟生效。因為Proxy會自動上報給存儲層，而網(wǎng)關會定期自動掃描存儲層。

我們以客戶端請求如下鏈接為例：10.wei.com/user/get?uid=1

最后，我們看一下proxy的啟動和代理階段：