公司有一系列接口准备开放出去给第三方调用,聚合数据那样的接口,当然了需要申请一个key,进行访问统计和频率控制。
这些服务由于历史遗留问题,很多服务都已经部署并运行很长时间了,有的是同一个java web app下不同的路径,有的压根就是不同的web app。
现在不是很清楚主流的授权+验证机制是个什么样子,有几个疑问:
一般授权的话会生成一个key,但是这个key怎么跟服务绑定?为保证唯一性,一般跟服务id绑定,但是在验证的时候,可以根据key查到所有绑定的合法的服务id,但是怎么判断当请正在请求的这个服务跟某个合法的服务就是同一个?
验证我个人觉得是不适合放到每一个服务都去验证一边的,希望有个中间层在所有服务的前面拦截,但是不知道技术上是否可行?因为前面提到了,这些接口有的是运行在同一个web app下,看这里:
http://www.domain.com/open/weather
http://www.domain.com/open/sms
有的是不同应用,看这里:
http://www.domain.com/anotherapp/api/mail
http://www.domain.com/thirdapp/news
不知道有没有类似 ASP.NET下的HttpModule那样,可以针对整个网站、应用、目录做过滤的方法。
多少有点乱,如果不清楚,请问我。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
2
396
收藏
楼主是不是在找类似oauth 2.0这种授权机制?
根据楼主的描述,我现在可以想到方案是,把授权服务独立出来,访问各个App的时候都调用一下授权服务接口来查看是否有权限。
问题很多,要一点点做起。
1、首先,需要做到访问API统计和频率控制,以及授权,那肯定是要做API访问用户表配置。
2、验证,我做过的都是从请求头判断用户名加密。
拦截请求头,获取加密信息,把访问API的信息加入到缓存里面
之后就是考虑怎么控制API访问的问题了