API网关
背景
当前每个公司一般都有一个独立的系统,每个系统都有自己的网关,路由本公司下的各个微服务。
但是大集团不止一个公司,而且各个公司有可能会出现互动的场景
这个时候就需要一个管控全局的角色 API网关,也叫平台网关
API网关做什么
- 统一域名
比如:客户端或者第三方应用请求都是
https://api.company.com不会区分到
https://order.system.com https://user.system.com https://inventory.system.com需要API网关路由到各个系统
- 跨系统路由
/api/order/** → 订单系统网关 /api/user/** → 用户系统网关 /api/payment/** → 支付系统网关- 全局认证/鉴权
JWT / OAuth2 校验 在 API 网关统一做
通过后把:
userId
tenantId
roles
以 内部 Header 传给下游
简单架构图
时序图
内部系统之间怎么调用?
先看时序图
发现 不管是外部应用和内部之间调用好像流程都一样,都是先到平台API网关再路由。
很奇怪对吧,就好比 一个学校的学生A要找 另外一个班级的学生B,已经知道他们都是学生的情况下,学生A还要跑到学校门口那里校验身份,再进学校去找学生B。不合理啊
校验规则
虽然内外网都走平台网关,但是他们的校验逻辑不一样
给出校验逻辑的差异
| 校验维度 | 外网入口(通常) | 内网入口(通常) | 说明 |
|---|---|---|---|
| 网络来源 | 公网 IP | 内网 IP 段 / VPC | 外网更不可信,内网可做网段约束 |
| TLS 方式 | 单向 TLS(HTTPS) | 单向 TLS 或 mTLS | 内网常加强为双向证书校验 |
| 客户端身份 | JWT / OAuth2(用户态) | mTLS / internal token(系统态) | 外网认“谁用户”,内网认“哪个系统” |
| 认证强度 | 用户登录态、MFA 可能 | 机器/应用身份,无 MFA | 内网更偏系统间调用 |
| 鉴权粒度 | 用户角色 / 数据权限 | 系统级权限(system-a → system-b) | 外网更细,内网更粗 |
| 签名/防篡改 | 可选(HMAC/签名) | 可选,或依赖 mTLS 加密 | 内网常认为传输层已保护 |
| 限流策略 | 更严格(IP / 用户 / API Key) | 较松或更侧重系统级 QPS | 外网更易被刷,内网相对可控 |
| 黑名单/封 IP | 常见(IP / 国家 / 风控) | 较少,或仅内部阻断列表 | 外网威胁面更大 |
| WAF / 攻击防护 | 开启(SQLi、XSS、CC 等) | 关闭或仅轻量规则 | WAF 成本/延迟高,内网常简化 |
| 审计粒度 | 用户 + 接口 + 参数 | 系统 + 接口 | 外网审计更细,内网偏运维审计 |
| 侵入式校验 | 更严格(参数、长度、编码) | 相对信任(仍建议校验) | 内网不等于“不校验”,而是“不同重心” |
| 调用链信任 | 不默认信任 | 有限信任(信任域内) | 零信任下内网也会趋严 |
外网:用户身份、攻击防护、滥用控制
内网:系统身份、调用权限、可审计性
总结
| 职责 | API 网关(平台级) | 微服务网关(系统级) |
|---|---|---|
| 统一域名 / 统一入口 | ✅ | ❌(或仅系统内域名) |
| 跨系统路由(/system-a, /system-b) | ✅ | ❌ |
| 全局认证 / 统一身份校验 | ✅(用户态/JWT 等) | 可选(内部身份/二次校验) |
| 全局限流、封禁、风控 | ✅ | ❌ |
| 协议转换(HTTP↔gRPC 等) | ✅ | 可选 |
| 审计/全链路追踪(跨系统) | ✅ | 偏系统内 |
| 业务路由(到具体服务) | 少量 | ✅ |
| 业务聚合 / BFF(前端接口) | ❌(一般不) | ✅ |
| 接口版本(系统内) | 少量 | ✅ |
| 内部缓存 / 内部编排 | ❌ | ✅ |
| 负载均衡到微服务 | ❌ / 可选 | ✅ |