CN114745316A - 路由方法、装置、设备、介质和程序产品 - Google Patents
路由方法、装置、设备、介质和程序产品 Download PDFInfo
- Publication number
- CN114745316A CN114745316A CN202210386978.0A CN202210386978A CN114745316A CN 114745316 A CN114745316 A CN 114745316A CN 202210386978 A CN202210386978 A CN 202210386978A CN 114745316 A CN114745316 A CN 114745316A
- Authority
- CN
- China
- Prior art keywords
- role
- routing
- interface
- gateway server
- interface access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000004590 computer program Methods 0.000 claims description 20
- 230000015654 memory Effects 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 21
- 238000004891 communication Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种路由方法,可以应用于信息安全技术领域及金融技术领域。该方法包括:在独立于网关服务器的外部存储中配置角色和角色对应的接口访问权限;响应于角色的访问请求,从外部存储中将角色和接口访问权限加载至网关服务器,以使得网关服务器根据角色和接口访问权限对访问请求进行路由。本公开还提供了一种路由装置、设备、存储介质和程序产品。
Description
技术领域
本公开涉及信息安全领域及金融领域,具体地涉及一种路由方法、装置、设备、介质和程序产品。
背景技术
Gateway(网关)作为微服务架构流量的统一入口,常用的功能包括路由转发,权限校验,限流等。Gateway旨在为微服务架构提供一种简单有效的API路由的管理方式,并且基于Filter提供基本的网关功能,例如:安全认证,限流,监控。不论是spring cloud gateway还是zuul gateway都包括三个大模块(路由,断言,拦截器),业务系统在这三个模块上扩展,实现自定义的分发规则。
传统方式使用gateway都是通过预先在配置文件中设置路由和Predicate来确定路由规则,如图1所示。如果路由规则变化,需要修改配置文件,然后重启服务才可生效。随着系统的需求迭代变化,会新增微服务,新增接口,修改访问规则等,如果每次修改都要调整gateway配置文件,则会频繁发布gateway。由于gateway是统一的出口,频繁发布gateway会影响整个业务系统的性能以及可用性。Gateway通过配置文件的方式实现路由来做转发和代理,gateway启动加载配置文件,初始化路由配置对外提供服务。配置文件不能动态修改,而且配置文件的路由粒度为微服务,无法到接口粒度。
另外,gateway可按IP,user对接口进行限流设置,原生限流设置不支持动态修改,系统启动的时候就预设了限流的策略,不能在运行时进行调整,如想调整会手工修改限流策略或者重启服务。同时,原生限流设置只支持某个特定的策略进行限流,不支持组合,例如不支持按照某个固定IP下的某个用户进行限流。
发明内容
鉴于上述问题,本公开提供了提高配置灵活性的路由方法、装置、设备、介质和程序产品,用于至少部分解决以上技术问题。
根据本公开的第一个方面,提供了一种路由方法,包括:在独立于网关服务器的外部存储中配置角色和角色对应的接口访问权限;响应于角色的访问请求,从外部存储中将角色和接口访问权限加载至网关服务器,以使得网关服务器根据角色和接口访问权限对访问请求进行路由。
根据本公开的实施例,外部存储采用数据库,从外部存储中将角色和角色对应的接口访问权限加载至网关服务器包括:从数据库中加载角色;调用网关服务器中的认证微服务,认证微服务根据角色加载接口访问权限。
根据本公开的实施例,网关服务器根据角色和接口访问权限对访问请求进行路由包括:网关服务器根据角色和接口访问权限生成动态路由规则文件;根据动态路由规则文件对访问请求进行路由。
根据本公开的实施例,网关服务器根据角色和接口访问权限生成动态路由规则文件包括:根据角色及接口访问权限,获取接口调用数据;根据角色,接口访问权限及接口调用数据,生成动态路由规则文件。
根据本公开的实施例,根据角色,接口访问权限及接口调用数据,生成动态路由规则文件包括:根据角色及接口访问权限生成路由断言;根据接口调用数据生成自定义断言;根据路由断言和自定义断言生成动态路由规则文件;其中,自定义断言用于判定接口调用数据与设定阈值的大小。
根据本公开的实施例,根据角色及接口访问权限生成路由断言包括:根据角色及接口访问权限生成时间断言和标头断言。
根据本公开的实施例,访问请求包括角色名和令牌,根据动态路由规则文件对访问请求进行路由包括:根据角色名与标头断言判断角色的匹配性;利用时间断言判断角色登录时间的匹配性;根据令牌判断角色调用限制的匹配性;在确定角色的匹配性、角色登录时间的匹配性以及角色调用限制的匹配性都满足的情况下,为访问请求调用接口,完成对访问请求的路由。
根据本公开的实施例,在独立于网关服务器的外部存储中配置角色和角色对应的接口访问权限包括:根据角色和/或接口访问权限的变化,在外部存储中重新配置角色与接口访问权限。
根据本公开的实施例,路由方法还包括:根据接口调用数据的变化,将动态路由规则文件更新到网关服务器的内存中。
根据本公开的实施例,网关服务器根据角色和接口访问权限对访问请求进行路由还包括:通过订阅消息队列对动态路由规则文件进行发布。
根据本公开的实施例,接口访问权限包括限流策略,限流策略采用一种断言策略或多种断言策略的组合;根据角色加载对应的限流策略对角色进行限流。
本公开的第二方面提供了一种路由装置,包括:配置模块,用于在独立于网关服务器的外部存储中配置角色和角色对应的接口访问权限;以及路由模块,用于响应于角色的访问请求,从外部存储中将角色和接口访问权限加载至网关服务器,以使得网关服务器根据角色和接口访问权限对访问请求进行路由。
本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器执行上述任一实施例的路由方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述任一实施例的路由方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述任一实施例的路由方法。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的传统路由方法的逻辑框图;
图2示意性示出了根据本公开实施例的路由方法、装置、设备、介质和程序产品的应用场景图;
图3示意性示出了根据本公开实施例的路由方法的流程图;
图4示意性示出了根据本公开实施例的动态路由规则文件的生成方法流程图;
图5示意性示出了根据本公开实施例的路由方法的逻辑框图;
图6示意性示出了根据本公开实施例的gateway启动流程图;
图7示意性示出了根据本公开实施例的路由方法逻辑框图;
图8示意性示出了根据本公开实施例的动态限流方法的逻辑框图;
图9示意性示出了根据本公开实施例的动态限流方法的流程图;
图10示意性示出了根据本公开实施例的动态路由规则文件的发布逻辑框图;
图11示意性示出了根据本公开实施例的路由装置的结构框图;以及
图12示意性示出了根据本公开实施例的适于实现路由方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开实施例提供一种路由方法、装置、设备、介质和程序产品,可用于金融领域或其他领域。需要说明的是本公开的路由方法、装置、设备、介质和程序产品可用于金融领域,也可用于除金融领域之外的任意领域,本公开的路由方法、装置、设备、介质和程序产品的应用领域不做限定。
在本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
图2示意性示出了根据本公开实施例的路由方法、装置、设备、介质和程序产品的应用场景图。
如图2所示,根据该实施例的应用场景200可以包括终端设备201、202、203,网络204和服务器205。网络204用以在终端设备201、202、203和服务器205之间提供通信链路的介质。网络204可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备201、202、203通过网络204与服务器205交互,以接收或发送消息等。终端设备201、202、203上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备201、202、203可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器205可以是提供各种服务的服务器,例如对用户利用终端设备201、202、203所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的路由方法一般可以由服务器205执行。相应地,本公开实施例所提供的路由装置一般可以设置于服务器205中。本公开实施例所提供的路由方法也可以由不同于服务器205且能够与终端设备201、202、203和/或服务器205通信的服务器或服务器集群执行。相应地,本公开实施例所提供的路由装置也可以设置于不同于服务器205且能够与终端设备201、202、203和/或服务器205通信的服务器或服务器集群中。
应该理解,图2中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图2描述的场景,通过图3~图10对公开实施例的路由方法进行详细描述。
图3示意性示出了根据本公开实施例的路由方法的流程图。
如图3所示,本公开的实施例提供了一种路由方法,例如包括:
S310,在独立于网关服务器的外部存储中配置角色和角色对应的接口访问权限。
S320,响应于角色的访问请求,从外部存储中将角色和接口访问权限加载至网关服务器,以使得网关服务器根据角色和接口访问权限对访问请求进行路由。
根据本公开的实施例,随着系统的需求迭代变化,会新增角色,新增微服务,新增接口和修改访问规则等,进而需要修改gateway配置文件。根据角色和/或接口访问权限的变化,可以在外部存储中重新配置角色与接口访问权限,通过在外部存储中对角色及角色与访问接口的匹配规则进行预先配置,可以对其进行灵活修改,而不必重复启动gateway服务器,只需要适时读取生成的动态路由规则文件即可,提高了运维效率。
图4示意性示出了根据本公开实施例的动态路由规则文件的生成方法流程图。
根据本公开的实施例,网关服务器例如通过生成动态路由规则文件的方式,对角色的访问请求进行路由。如图4所示,例如通过操作S321~操作S324来生成动态路由规则文件。
S321,从数据库中加载角色。
图5示意性示出了根据本公开实施例的路由方法的逻辑框图。
根据本公开的实施例,如图5所示,外部存储例如包括数据库,网关服务器例如包含内存(或称为Redis、缓存服务)。预先在数据库中配置角色和访问API(ApplicationProgramming Interface,应用程序接口,本公开中简称接口)的关系以及路由规则,进而在某个角色发出路由请求的时候,gateway服务器可以从数据库中加载该角色的信息。通过数据库来实现角色的配置以及角色与访问API的路由规则,不必上线部署,可以灵活处理角色的新增、微服务的新增、接口的新增以及访问规则的修改等常用的运维服务。
S322,调用网关服务器中的认证微服务,认证微服务根据角色加载接口访问权限。
根据本公开的实施例,如图5所示,在gateway启动的时候,可以调用内部微服务接口,通过认证微服务来获取数据库中预先配置的所有角色以及该角色对应接口的调用规则。
S323,根据角色及接口访问权限,获取接口调用数据。
根据本公开的实施例,根据某个角色的请求,在获取到存储在数据库中该角色的信息以及该角色所请求的接口信息(即接口访问权限中的信息)后,可以继续查看该角色通过该接口访问对应应用程序的次数、访问时长等信息,得到该接口的调用数据,以判断该角色是否还有权限继续使用该接口,对该角色进行路由。
S324,根据角色,接口访问权限及接口调用数据,生成动态路由规则文件。
图6示意性示出了根据本公开实施例的gateway启动流程图。
根据本公开的实施例,如图6所示,gateway服务器获取数据库中的角色、接口访问权限以及接口调用数据后,使用gateway原生方法动态地生成路由。本公开中例如分别生成路由断言和自定义断言,其中,路由断言例如包括有效时间验证断言(即时间断言)和标头断言,有效时间验证断言例如用于验证该角色的登录时间是否在开始结束内。标头断言,标头即header,header中需要指定Roleid(角色名)以确定请求路由的角色是否正确。自定义断言,用于判断系统对该角色的限制条件(例如接口调用数据)是否满足,例如调用次数、调用评率等,例如通过比较已调用次数与设定的调用次数阈值的大小来判断该限制条件是否满足,设定的调用次数例如与该角色的购买次数等相关。动态生成相关Route(路由)和predicates(断言)后,系统例如通过认证服务将所生成的断言以文件的形式存入网关服务器的内存中,即将动态路由规则文件存入内存中。通过时间、Header以及自定义的Predicates来动态的配置路由规则,能够细化到接口API层,实现gateway灵活配置。
图7示意性示出了根据本公开实施例的路由方法逻辑框图。
根据本公开的实施例,如图7所示,当请求方发送路由请求后,gateway服务器会对该请求进行验证。请求方发送的请求中例如携带有token(令牌)和roleid等信息。Gateway服务器例如分别对该请求信息进行登录时间的匹配性检查、roleid的匹配性检查以及自定义断言检查等,其中,在动态路由规则文件中已经记载有有效时间验证断言、标头断言和自定义断言等信息,使用token可以在Redis中查询到对应微服务中的角色限制条件,例如剩余调用次数等。当所有断言的匹配性检查均成功后,即可调用到对应微服务的某个服务接口,实现对请求角色的路由。通过上述动态路由步骤,实现了gateway转发的动态配置,可以将用户角色接口的过滤放到gateway服务中来实现,可以支持到接口粒度,这样就把接口权限的校验都放到了gateway层,每个微服务不必做权限验证,能够更好的和业务系统解耦。
可以理解的是,当成功调用接口对某角色进行路由后,该角色在相应微服务中的可调用次数减少一次,例如可以将减少后的剩余可调用次数更新到Redis中以便于后续查询。
图8示意性示出了根据本公开实施例的动态限流方法的逻辑框图。
图9示意性示出了根据本公开实施例的动态限流方法的流程图。
根据本公开的实施例,通过本公开的路由方法,除了动态配置路由规则,还可以动态修改限流参数。如图8所示,例如通过Redis实现令牌桶,当客户端发起登录请求后,请求例如为post访问接口http://localhost/user/queryData,Token:343dsweq22sasdsdw4,根据token得到用户对应的动态策略加载器,进而根据该动态策略加载器从相应的微服务(或称为业务微服务)中获取该用户通过某接口访问该微服务的限流策略对该用户所包含的至少一个角色的访问进行限流,而本公开中的限流策略在gateway的基础上,增加了自定义组合的配置,即可以实现多个不同角色限流策略的分别控制,也可以实现不同断言类型的自由组合。具体地,如图9所示,当客户端发起请求后,调用相应的接口,经过原生gateway、gateway pipeline(网关管线)的处理。然后,由全局filter(即动态策略加载器)获取用户的接口限流策略,后台限流策略微服务检查Redis是否缓存有该限流策略,如果有则直接返回该限流策略,如果没有则从数据库中获取。接着检查该限流策略是否发生变化,如果发生变化,则初始化限流器,并重置网关管线。然后根据变化的限流策略,加载新的filter(过滤器或拦截器),再初始化新的令牌桶。依次返回新的令牌桶到全局filter和网关管线,调用管线中的下一个拦截器对该用户进行限流。同步检查是否达到限流数等,满足限流条件的,最后对该微服务的接口进行调用。本公开的动态限流方法支持运行时动态修改限流参数,系统可以热加载实现限流数值切换。
优选地,通过订阅消息队列对动态路由规则文件进行发布。
图10示意性示出了根据本公开实施例的动态路由规则文件的发布逻辑框图。
根据本公开的实施例,如图10所示,当运维人员通过数据库修改角色或访问规则等之后,例如通过中间MQ(即消息中间件)的发布订阅来实现通知机制。Gateway服务订阅角色API关系变化通知消息,业务系统修改规则后发布消息,gateway收到订阅消息后,例如从内存中重新加载动态路由规则文件,实现了路由规则的动态修改。Gateway系统可以含有一个或多个gateway服务器。
基于上述路由方法,本公开还提供了一种路由装置。以下将结合图11对该装置进行详细描述。
图11示意性示出了根据本公开实施例的路由装置的结构框图。
如图11所示,该实施例的装置1100包括配置模块1110和路由模块1120。
配置模块1110用于在独立于网关服务器的外部存储中配置角色和角色对应的接口访问权限。在一实施例中,配置模块1110可以用于执行前文描述的操作S310,在此不再赘述。
路由模块1120用于响应于角色的访问请求,从外部存储中将角色和接口访问权限加载至网关服务器,以使得网关服务器根据角色和接口访问权限对访问请求进行路由。在一实施例中,路由模块1120可以用于执行前文描述的操作S320,在此不再赘述。
根据本公开的实施例,配置模块1110和路由模块1120中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,配置模块1110和路由模块1120中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,配置模块1110和路由模块1120中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图12示意性示出了根据本公开实施例的适于实现路由方法的电子设备的方框图。
如图12所示,根据本公开实施例的电子设备1200包括处理器1201,其可以根据存储在只读存储器(ROM)1202中的程序或者从存储部分1208加载到随机访问存储器(RAM)1203中的程序而执行各种适当的动作和处理。处理器1201例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器1201还可以包括用于缓存用途的板载存储器。处理器1201可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1203中,存储有电子设备1200操作所需的各种程序和数据。处理器1201、ROM 1202以及RAM 1203通过总线1204彼此相连。处理器1201通过执行ROM 1202和/或RAM1203中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1202和RAM 1203以外的一个或多个存储器中。处理器1201也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1200还可以包括输入/输出(I/O)接口1205,输入/输出(I/O)接口1205也连接至总线1204。电子设备900还可以包括连接至I/O接口1205的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1206;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1207;包括硬盘等的存储部分1208;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至I/O接口1205。可拆卸介质1211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1210上,以便于从其上读出的计算机程序根据需要被安装入存储部分1208。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1202和/或RAM 1203和/或ROM 1202和RAM 1203以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的物品推荐方法。
在该计算机程序被处理器1201执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分1209被下载和安装,和/或从可拆卸介质1211被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分1209从网络上被下载和安装,和/或从可拆卸介质1211被安装。在该计算机程序被处理器1201执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (15)
1.一种路由方法,包括:
在独立于网关服务器的外部存储中配置角色和所述角色对应的接口访问权限;
响应于所述角色的访问请求,从所述外部存储中将所述角色和所述接口访问权限加载至所述网关服务器,以使得所述网关服务器根据所述角色和所述接口访问权限对所述访问请求进行路由。
2.根据权利要求1所述的路由方法,所述外部存储采用数据库,所述从所述外部存储中将所述角色和所述角色对应的接口访问权限加载至所述网关服务器包括:
从所述数据库中加载所述角色;
调用所述网关服务器中的认证微服务,所述认证微服务根据所述角色加载所述接口访问权限。
3.根据权利要求1所述的路由方法,所述网关服务器根据所述角色和所述接口访问权限对所述访问请求进行路由包括:
所述网关服务器根据所述角色和所述接口访问权限生成动态路由规则文件;
根据所述动态路由规则文件对所述访问请求进行路由。
4.根据权利要求3所述的路由方法,所述网关服务器根据所述角色和所述接口访问权限生成动态路由规则文件包括:
根据所述角色及所述接口访问权限,获取接口调用数据;
根据所述角色,所述接口访问权限及所述接口调用数据,生成所述动态路由规则文件。
5.根据权利要求4所述的路由方法,所述根据所述角色,所述接口访问权限及所述接口调用数据,生成所述动态路由规则文件包括:
根据所述角色及所述接口访问权限生成路由断言;
根据所述接口调用数据生成自定义断言;
根据所述路由断言和所述自定义断言生成所述动态路由规则文件;
其中,所述自定义断言用于判定所述接口调用数据与设定阈值的大小。
6.根据权利要求5所述的路由方法,所述根据所述角色及所述接口访问权限生成路由断言包括:
根据所述角色及所述接口访问权限生成时间断言和标头断言。
7.根据权利要求6所述的路由方法,所述访问请求包括角色名和令牌,所述根据所述动态路由规则文件对所述访问请求进行路由包括:
根据所述角色名与所述标头断言判断所述角色的匹配性;
利用所述时间断言判断所述角色登录时间的匹配性;
根据所述令牌判断所述角色调用限制的匹配性;
在确定所述角色的匹配性、所述角色登录时间的匹配性以及所述角色调用限制的匹配性都满足的情况下,为所述访问请求调用接口,完成对所述访问请求的路由。
8.根据权利要求1所述的路由方法,所述在独立于网关服务器的外部存储中配置角色和所述角色对应的接口访问权限包括:
根据所述角色和/或所述接口访问权限的变化,在所述外部存储中重新配置所述角色与所述接口访问权限。
9.根据权利要求4所述的路由方法,所述路由方法还包括:
根据所述接口调用数据的变化,将所述动态路由规则文件更新到所述网关服务器的内存中。
10.根据权利要求3所述的路由方法,所述网关服务器根据所述角色和所述接口访问权限对所述访问请求进行路由还包括:
通过订阅消息队列对所述动态路由规则文件进行发布。
11.根据权利要求1所述的路由方法,所述接口访问权限包括限流策略,所述限流策略采用一种断言策略或多种断言策略的组合;
根据所述角色加载对应的所述限流策略对所述角色进行限流。
12.一种路由装置,包括:
配置模块,用于在独立于网关服务器的外部存储中配置角色和所述角色对应的接口访问权限;以及
路由模块,用于响应于所述角色的访问请求,从所述外部存储中将所述角色和所述接口访问权限加载至所述网关服务器,以使得所述网关服务器根据所述角色和所述接口访问权限对所述访问请求进行路由。
13.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~11中任一项所述的路由方法。
14.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~11中任一项所述的路由方法。
15.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~11中任一项所述的路由方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210386978.0A CN114745316B (zh) | 2022-04-13 | 2022-04-13 | 路由方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210386978.0A CN114745316B (zh) | 2022-04-13 | 2022-04-13 | 路由方法、装置、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114745316A true CN114745316A (zh) | 2022-07-12 |
CN114745316B CN114745316B (zh) | 2023-11-14 |
Family
ID=82282319
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210386978.0A Active CN114745316B (zh) | 2022-04-13 | 2022-04-13 | 路由方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114745316B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103634214A (zh) * | 2013-11-25 | 2014-03-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种路由信息生成方法及装置 |
US20170329957A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
US20190334918A1 (en) * | 2018-04-25 | 2019-10-31 | Vmware, Inc. | Fine-grained iot access control via device proxies and sdn-based micro-segmentation |
CN110647319A (zh) * | 2019-10-08 | 2020-01-03 | 中国工商银行股份有限公司 | 功能模块解耦方法及系统 |
CN111600899A (zh) * | 2020-05-25 | 2020-08-28 | 华人运通(上海)云计算科技有限公司 | 微服务访问控制方法、装置、电子设备及存储介质 |
CN111988337A (zh) * | 2020-09-02 | 2020-11-24 | 深圳壹账通智能科技有限公司 | 权限管理方法及系统 |
CN112016128A (zh) * | 2020-10-29 | 2020-12-01 | 北京淇瑀信息科技有限公司 | 基于CRUD和权限管理的vue开发方法及装置 |
CN113221156A (zh) * | 2021-06-09 | 2021-08-06 | 中国银行股份有限公司 | 前端权限控制方法、装置、电子设备及存储介质 |
CN113765695A (zh) * | 2021-03-26 | 2021-12-07 | 北京京东拓先科技有限公司 | 一种网关管理方法、装置、设备及计算机可读存储介质 |
CN114039759A (zh) * | 2021-11-02 | 2022-02-11 | 中国软件与技术服务股份有限公司 | 一种面向信创领域的高性能网关鉴权方法与系统 |
CN114205191A (zh) * | 2021-12-13 | 2022-03-18 | 四川启睿克科技有限公司 | 一种api网关系统及运行方法 |
-
2022
- 2022-04-13 CN CN202210386978.0A patent/CN114745316B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103634214A (zh) * | 2013-11-25 | 2014-03-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种路由信息生成方法及装置 |
US20170329957A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
US20190334918A1 (en) * | 2018-04-25 | 2019-10-31 | Vmware, Inc. | Fine-grained iot access control via device proxies and sdn-based micro-segmentation |
CN110647319A (zh) * | 2019-10-08 | 2020-01-03 | 中国工商银行股份有限公司 | 功能模块解耦方法及系统 |
CN111600899A (zh) * | 2020-05-25 | 2020-08-28 | 华人运通(上海)云计算科技有限公司 | 微服务访问控制方法、装置、电子设备及存储介质 |
CN111988337A (zh) * | 2020-09-02 | 2020-11-24 | 深圳壹账通智能科技有限公司 | 权限管理方法及系统 |
CN112016128A (zh) * | 2020-10-29 | 2020-12-01 | 北京淇瑀信息科技有限公司 | 基于CRUD和权限管理的vue开发方法及装置 |
CN113765695A (zh) * | 2021-03-26 | 2021-12-07 | 北京京东拓先科技有限公司 | 一种网关管理方法、装置、设备及计算机可读存储介质 |
CN113221156A (zh) * | 2021-06-09 | 2021-08-06 | 中国银行股份有限公司 | 前端权限控制方法、装置、电子设备及存储介质 |
CN114039759A (zh) * | 2021-11-02 | 2022-02-11 | 中国软件与技术服务股份有限公司 | 一种面向信创领域的高性能网关鉴权方法与系统 |
CN114205191A (zh) * | 2021-12-13 | 2022-03-18 | 四川启睿克科技有限公司 | 一种api网关系统及运行方法 |
Non-Patent Citations (3)
Title |
---|
CHANDRA WIJAYA等: "Performance Analysis of Dynamic Routing Protocol EIGRP and OSPF in IPv4 and IPv6 Network", 2011 FIRST INTERNATIONAL CONFERENCE ON INFORMATICS AND COMPUTATIONAL INTELLIGENCE * |
杨家海;王继龙;章勋;: "基于角色的一体化配置管理模型与实现", 清华大学学报(自然科学版), no. 10 * |
陈珊;林智华;: "共享信息平台安全性研究", 福建工程学院学报, no. 01 * |
Also Published As
Publication number | Publication date |
---|---|
CN114745316B (zh) | 2023-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11200081B2 (en) | Systems and methods for tuning containers in a high availability environment | |
US20180309819A1 (en) | Endpoint management system providing an application programming interface proxy service | |
US10484385B2 (en) | Accessing an application through application clients and web browsers | |
US10104037B2 (en) | Method and system for network access request control | |
US8881224B2 (en) | Method and system for providing masking services | |
US20120144501A1 (en) | Regulating access to protected data resources using upgraded access tokens | |
CN111737687B (zh) | 网页应用系统的访问控制方法、系统、电子设备和介质 | |
US9672382B2 (en) | Managing access of user information by third party applications | |
EP2805257A1 (en) | Managing font distribution | |
US10891569B1 (en) | Dynamic task discovery for workflow tasks | |
CN113010561B (zh) | 基于超级账本的数据获取方法、装置、计算机系统 | |
CN113626795A (zh) | 分布式系统架构的验证方法、装置、电子设备及存储介质 | |
US10346626B1 (en) | Versioned access controls | |
CN114745316B (zh) | 路由方法、装置、设备和介质 | |
US10771586B1 (en) | Custom access controls | |
CN112953719A (zh) | 一种令牌认证方法和装置 | |
US11798001B2 (en) | Progressively validating access tokens | |
US11720507B2 (en) | Event-level granular control in an event bus using event-level policies | |
US20230359467A1 (en) | Computing system and methods for prelaunching apps in virtual computing sessions | |
US20230412570A1 (en) | Configurable proxying application program interface façade service | |
US20230401275A1 (en) | Tenant network for rewriting of code included in a web page | |
CN114218330A (zh) | Es集群的选择方法、装置、设备、介质和程序产品 | |
CN113660166A (zh) | 交易路由控制方法、装置、电子设备及存储介质 | |
CN113986264A (zh) | 安装包定制方法、装置、设备、介质和程序产品 | |
CN116389500A (zh) | 限流方法、装置、设备、存储介质和程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |