OpenResty网关鉴权方案

原创 已于 2024-10-18 11:43:22 修改 · 1.7k 阅读 · 21 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#openresty #nginx #网络
于 2024-02-18 12:29:32 首次发布
本文详细探讨了在满足前端代理和后端GateWay需求的情况下,对APISIX、KONG、OpenResty和Nginx进行的技术选型。着重介绍了OpenResty的优势,包括高性能、Lua集成、易于扩展和部署,以及如何实现HTTPS、Redis连接和网关鉴权流程。

1. 需求分析

需要一款网关,既可以支持原有的前端代理,也可以兼容后端的GateWay功能:

l 支持前端部署访问,同时支持HTTPS

l 支持对后端的反向代理,负载均衡与健康检查

l 支持网关鉴权,符合鉴权要求的请求才能够放行

l 支持接口级的白名单放行

2. 技术选型

对APISIX、KONG、OpenResty、Nginx进行调研

1) APISIX

Apache APISIX 是一个动态、实时、高性能的云原生 API 网关。它构建于 NGINX + ngx_lua 的技术基础之上,充分利用了 LuaJIT 所提供的强大性能。 网关架构图:

APISIX 核心:包括 Lua 插件、多语言插件运行时(Plugin Runner)、Wasm 插件运行时等;

APISIX 在其核心中,提供了路由匹配、负载均衡、服务发现、API 管理等重要功能;

部署架构图:需要ETCD集群

APISIX生态全景图;定位:全流量的云原生网关(南北、东西)

2) KONG

Kong 是一款基于 OpenResty(Nginx + Lua 模块)编写的高可用、易扩展的,由 Mashape 公司开源的 API Gateway 项目。Kong 是基于 NGINX 和 Apache Cassandra 或 PostgreSQL 构建的,能提供易于使用的 RESTful API 来操作和配置 API 管理系统,所以它可以水平扩展多个 Kong 服务器,通过前置的负载均衡配置把请求均匀地分发到各个 Server,来应对大批量的网络请求。网关架构图:

架构分层图:

部署架构图:需要Cassandra和PostgreSQL

3) OpenResty

OpenResty是一个基于Nginx与Lua的高性能Web平台,其内部集成了大量精良的Lua库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。

在 OpenResty 中,每个 worker 中有一个 Lua VM,当一个请求被分配到 worker 时,worker 中的 Lua VM 里创建一个 coroutine(协程) 来负责处理。协程之间的数据隔离,每个协程具有独立的全局变量 _G。

第三方模块就可以根据自己的行为,挂载到不同阶段处理达到目的。

不同的阶段,处理不同的行为。

3. 为什么选择OpenResty

1) 三个网关的继承关系

2) 网上压测参考

测试机为1核2G。

压测命令:ab –c 100 –n 10000 http://127.0.0.1:8000/hello

压测结果:

3) 网关对比

4. OpenResty的安装(略)

5. 前端部署

sudo vi /usr/local/openresty/nginx/conf/nginx.conf

http {

    include       mime.types;

    default_type  application/octet-stream;

    server_tokens off;  #隐藏版本号

    sendfile        on;

    tcp_nopush     on;

    keepalive_timeout  65;

    gzip on;

    gzip_buffers 32 4K;

    gzip_comp_level 6;

    gzip_min_length 100;

    gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;

    gzip_vary on;

    server {

        listen       80;

        server_name  localhost;

        #安全策略

        more_clear_headers 'Server'; #headers-more-nginx-module

        add_header X-Content-Type-Options 'nosniff';

        add_header X-Frame-Options 'DENY';

        add_header X-Xss-Protection '1;mode=block';

        location / {

            root   /usr/local/openresty/nginx/dist;

            index  index.html index.htm;

        }

server_tokens off;  #防止黑客利用某个版本号的漏洞对服务器进行攻击

前端文件默认复制到/usr/local/openresty/nginx/目录下,否则会有用户权限限制

验证方式:请求资源链接,可以看到前端页面

6. 后端反向代理

运行后端

nohup /usr/local/jdk-11.0.17/bin/java -XX:+UnlockExperimentalVMOptions -XX:MaxRAMPercentage=90.0 -XX:InitialRAMPercentage=60.0 -Dfile.encoding=UTF-8 -jar /home/user/authority-1.0-SNAPSHOT.jar > authority.log 2>&1 &

sudo vi /usr/local/openresty/nginx/conf/nginx.conf

        location /open-api/authority/ {

            proxy_pass http://127.0.0.1:9500/;

            proxy_connect_timeout 15s;

            proxy_send_timeout 15s;

            proxy_read_timeout 15s;

            proxy_set_header X-Real-IP $remote_addr;

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        }

验证方式:请求http://部署IP/open-api/authority/code,可以看到验证码

通过配置upstream实现后端的负载均衡

7. 增加HTTPS支持

通过openssl命令生成四个文件

server.crt

server.csr

server.key

server.key.org

将server.crt server.key复制到openresty配置中

sudo cp server.crt server.key /usr/local/openresty/nginx/conf/

配置文件

sudo vi /usr/local/openresty/nginx/conf/nginx.conf

server {

    listen       443 ssl;

    server_name  localhost;

    ssl_certificate      server.crt;

    ssl_certificate_key  server.key;

    ssl_session_cache    shared:SSL:1m;

    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;

    ssl_prefer_server_ciphers  on;

    root   /usr/local/openresty/nginx/dist2;

    location /open-api/authority/ {

        proxy_pass http://127.0.0.1:9500/;

        proxy_connect_timeout 15s;

        proxy_send_timeout 15s;

        proxy_read_timeout 15s;

        proxy_set_header X-Real-IP $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

}

验证方式:浏览器https://部署IP/,加载前端页面,并且显示验证码

8. 连接Redis(单机&集群)

需要兼容单机版和集群两种方式

单机版:

通过导入local redis = require "resty.redis"库实现redis连接。

集群版:

通过导入local cluster = require "rediscluster"库实现redis连接。

配置注意:单机版可以选择DB,集群版不能选择DB。两个版本都需要进行密码验证。

使用注意:集群不能使用mset,mget

详见lua源码

9. 网关鉴权流程

网关鉴权流程:根据请求中的Token,从Redis里获取鉴权信息,将信息放入Header,向后端传递请求,请求处理完成,返回前端

openresty 执行lua命令

openresty 连接redis,通过认证

openresty set、get方法

openresty 选择数据库

openresty 从Header中获取token

openresty 解析token值

openresty 从Redis拿token对应数据

openresty 字符串处理

openresty 解析json

openresty 请求透传

编写测试接口程序

设置Header信息

鉴权功能模块化

增加反向代理

增加负载均衡

openresty 请求返回前端

详见lua源码

10. 网关鉴权架构图

Lua+OpenResty快速入门
m0_53157173的博客
05-09 5225
Lua+OpenResty快速入门Lua概念特性应用场景Lua的安装Lua的语法第一个Lua程序Lua的注释标识符关键字运算符全局变量&局部变量Lua数据类型nilbooleannumberstringtabletablefunctionthreaduserdataLua控制结构if then elseif elsewhile循环repeat循环for循环ngx_lua模块概念ngx_lua模块环境准备方式一:lua-nginx-module方式一:lua-nginx-module方式二:OpenR
高性能Web网关OpenResty 基础讲解
m0_74825074的博客
12-22 1580
OpenResty是由国人章亦春开发的一个基于Nginx的可伸缩的Web平台。openresty 是一个基于 nginx 与 lua 的高性能 web 平台,其内部集成了大量精良的 lua 库、第三方模块以及大数的依赖项。用于方便搭建能够处理超高并发、扩展性极高的动态 web 应用、web 服务和动态网关openresty 通过汇聚各种设计精良的 nginx 模块,从而将 nginx有效地变成一个强大的通用 Web 应用平台。
OpenResty介绍与实战
liaoyu8686的博客
04-15 558
OpenResty是一个基于Nginx与Lua的高性能Web平台,集成了大量Lua库和第三方模块,支持超高并发Web应用开发。文章详细介绍了OpenResty的安装方法、工作原理(基于Nginx的11个处理阶段)及其核心功能模块,包括ngx_lua、ngx_stream_lua等11个主要模块的使用示例。通过具体配置案例展示了OpenResty在内容生成、API访问控制、Redis交互等方面的应用,体现了其将Lua脚本嵌入Nginx配置实现动态处理的强大能力。
OpenResty(nginx+lua+resty-http)实现访问
小小明-代码实体的专栏
12-04 5184
OpenResty 是一个基于 Nginx 和 LuaJIT 的动态 web 平台。它通过在 Nginx 中集成 LuaJIT,允许在 Nginx 服务器上运行 Lua 脚本,增加了 Nginx 的灵活性和可扩展性。首先下载并解压原版Nginx带有可以很方便的将Nginx注册为系统服务。下面我复制原版Nginx中的和文件 到 新解压的目录中。然后修改文件为如下内容:-- 服务名 --> < id > nginx
什么是OpenResty
热门推荐
yshir
11-16 4万+
OpenResty是一个成熟的网络平台,它集成了标准的Nginx核心,LuaJIT,许多精心编写的Lua库,许多高质量的第三方Nginx模块以及大多数外部依赖项。它旨在帮助开发人员轻松构建可伸缩的Web应用程序,Web服务和动态Web网关。 通过利用各种精心设计的Nginx模块(其中大部分由OpenResty团队自己开发),OpenResty有效地将nginx服务器转变为功能强大的Web应用服务...
OpenResty介绍
redfivehit的专栏
09-17 1346
一.前言 我们都知道Nginx有很多的特性和好处,但是在Nginx上开发成了一个难题,Nginx模块需要用C开发,而且必须符合一系列复杂的规则,最重要的用C开发模块必须要熟悉Nginx的源代码,使得开发者对其望而生畏。为了开发人员方便,所以接下来我们要介绍一种整合了Nginx和lua的框架,那就是OpenResty,它帮我们实现了可以用lua的规范开发,实现各种业务,并且帮我们弄清楚各个模块的编...
OpenResty(nginx+lua+resty-http)构建动态网关:保护BI报表安全访问
weixin_42741930的博客
04-13 344
本文详细介绍了如何使用OpenResty(nginx+lua+resty-http)构建动态网关,以保护BI报表的安全访问。通过实时、解耦架构和统一入口等优势,解决了传统限管理的痛点。文章包含环境搭建、核心实现、生产配置及问题排查等实战内容,助力企业构建高效安全的访问控制体系。
OpenResty
qq_58967403的博客
12-02 1738
OpenResty 不是 “替代 Nginx”,而是 “增强 Nginx”—— 它保留了 Nginx 的高性能,同时通过 Lua 脚本赋予了 Nginx 强大的动态扩展能力,尤其适合高并发、低延迟的场景(如 API 网关、高性能接口)。需要 API 网关(路由、、限流);想要开发高性能 Web 应用(并发 > 1 万,延迟 < 10ms);希望用简单的脚本扩展 Nginx 功能(无需写 C 模块);那么 OpenResty 是最优选择之一。
Spring Cloud Gateway 原理与应用场景
July的博客
05-09 4462
why 为什么需要网关? 如图可知: 在常规没有网关的情况下,无法对多个服务进行统一的处理,比如我需要做统一的,这时候需要在每个服务上增加功能来达到目的,工作量大且不好维护 在有网关的情况下,可以将所有的流量都达到网关,然后通过网关来对请求做统一的处理,非常方便 what 网关的应用场景 降低复杂性,如前台请求多个服务,可以通过网关进行简化 网关中重点):用户是否合法?有哪些限可以请求哪些服务 安全性:登录态,如果不通过,直接被打回去 多协议适配,可以针对.
Orange —— 腾讯、好未来等大厂都在用的开源 API 网关
shellquery的博客
10-17 3279
Orange API Gateway https://www.orgateway.orgOrange 是一个基于 OpenResty 的 API Gateway,提供...
OpenResty(nginx+lua+resty-http)构建BI报表动态网关
weixin_29170327的博客
02-18 271
本文详细介绍了如何利用OpenResty构建一个BI报表动态网关。通过整合Nginx、Lua脚本以及lua-resty-http模块,该方案能在请求转发前动态调用业务系统API进行访问,实现对BI报表链接的安全管控,且对原有系统零侵入。文中涵盖了环境搭建、核心脚本编写、Nginx配置优化及生产环境部署的全流程实践。
OpenRestyNginx 到底有啥区别?你真的了解吗!
星哥玩云
09-05 2976
Nginx是高性能的Web服务器和代理,适合网络层处理OpenResty是全功能的Web应用平台,适合业务逻辑处理选择哪个取决于你的具体需求。如果你的应用只需要简单的转发和负载均衡,Nginx 就足够了;如果需要处理复杂业务逻辑,或者想要在网关层实现更多功能,那么 OpenResty 是更好的选择。技术选型没有银弹,最适合的才是最好的。希望这篇文章能帮助你更好地理解 OpenRestyNginx 的区别。如果有任何问题,欢迎在评论区留言讨论!
OpenResty使用Lua大全(八)OpenResty执行流程与阶段详解
秃了也弱了
03-18 8849
之前也介绍过。语境:http阶段:loading-config当nginx master进程在加载nginx配置文件时运行指定的lua脚本,语境:http阶段:starting-worker在每个nginx worker进程启动时调用指定的lua代码。用于启动一些定时任务,比如心跳检查,定时拉取服务器配置等等;此处的任务是跟Worker进程数量有关系的,比如有2个Worker进程那么就会启动两个完全一样的定时任务。
高性能web网关Openresty实践
Lion_Long的博客
12-30 4433
一、openresty 简介。 二、openresty 安装。 三、openresty开发实践:content_by_lua 阶段、 rewrite_by_lua 阶段body_filter_by_lua 阶段。 六、openresty开发实践 —— 黑名单。 七、openresty开发实践 —— 反向代理。
深入浅出 OpenResty
hello.reader
01-11 3660
OpenResty 是一个基于 Nginx 的高性能 Web 平台,它集成了大量模块,并原生支持 Lua 脚本。这使得开发者能够以非常灵活的方式实现复杂的逻辑,而无需重新编译或扩展 Nginx 核心。
什么是 OpenResty
请叫我菜鸟
01-15 3494
OpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关
NginxOpenResty 网关迁移:Lua 脚本把 API 路由延迟从 120ms 压到 8ms
最新发布
聚焦学生开发者需求,分享课设毕设项目实战经验、系统开发技巧、数据库设计规范及文档排版实用方法。
06-06 297
说实话,我一开始觉得 Nginx 已经够快了。直到上周压测报告甩到脸上——同一个接口,P99 延迟 120ms,其中 80ms 花在了网关层。不是业务逻辑慢,不是数据库慢,是 Nginx 做反向代理时,每次请求都要完整地走完 TCP 三次握手 + 后端响应 + 关闭连接。这谁也忍不了。所以我干了件事:把 Nginx 换成 OpenResty,在网关层用 Lua 做动态路由、本地缓存和轻量。两周后,P99 降到了 8ms。今天把过程写出来,包括踩的坑。我们的架构很简单。Nginx 做反向代理,后面挂着 6
选择Kong作为你的API网关
代码过客
06-13 917
选择Kong作为你的API网关 文章来源:企鹅号 - Kirito的技术分享 域名特价活动 .com、.cn、.xyz、.club域名促销,最高享1元购。 Kong(https://github.com/Kong/kong)是一个云原生,高效,可扩展的分布式 API 网关。 自 2015 年在 github 开源后,广泛受到关注,目前已收获 1.68w+ 的 star,其核心价值在于高性能和可扩展...
Fish Speech 1.5企业级API网关集成:、限流、审计日志、调用统计
weixin_30598047的博客
02-06 230
本文介绍了如何在星图GPU平台上自动化部署fish-speech-1.5镜像,构建企业级语音合成服务。通过集成API网关,可实现、限流与审计,典型应用于客服语音播报、在线教育课件配音及电商多语言商品配音等场景,提升AI语音能力的可控性与生产就绪度。
Fish Speech-1.5企业级API网关集成:限流//计费/调用统计配置
weixin_35391606的博客
03-14 28
本文介绍了如何在星图GPU平台上自动化部署fish-speech-1.5镜像,实现企业级文本转语音API网关集成。该方案支持限流、、计费和调用统计功能,可为企业提供稳定可靠的语音合成服务,广泛应用于客服语音应答、有声内容制作等场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值