一种基于API网关的API接口访问方法与流程

本发明涉及网络技术领域，具体涉及一种基于api网关的api接口访问方法。

背景技术：

近年来，随着微服务概念的提出，基于微服务架构的开发和集成模式逐渐成为热点。在微服务架构下，为了保护内部服务而设计的一道屏障，通过提供高性能的api托管服务以帮助应用服务的开发人员便捷地对外提供服务，不用考虑安全控制、流量控制、审计日志等问题。在企业信息化环境中，由于不同系统间存在大量的api接口互相调用，因此需要对系统间服务调用进行服务订阅、调用管理以便清晰地看到各系统调用关系。

然而，虽然api网关能够通过企业内外部应用对企业内服务的访问进行有效的管理和监控，但是随着产业链上下游企业信息化交互程度的深入，企业间的横向应用集成需求变得愈发强烈，例如：a企业的内部应用需要访问b企业内部服务，以及b企业内部应用访问a企业内部服务，对于这样的集成需求，目前尚未有直接有效的解决办法。

技术实现要素：

为解决现有技术的不足，本发明实施例提供了一种基于api网关的api接口访问方法，该方法包括：

(1)在服务器端网关上注册需要代理的api接口，将所述服务器端网关的地址作为服务器端的地址；

(2)开启所述api接口的跨网关访问服务；

(3)将所述api接口注册到客户端网关；

(4)所述客户端网关判断其接收的访问请求对应的api接口是否为在本网关注册的api接口，若否，则将自身的标识、所述服务器网关的标识以及所述访问请求对应的api接口标识发送至授权服务中心，向所述授权服务中心申请访问令牌；

(5)所述授权服务中心根据所述客户端网关的标识、所述服务器网关的标识及所述api接口标识，生成访问令牌并将所述访问令牌发送至所述客户端网关；其中，所述访问令牌包括头部信息、载荷信息和签名信息，其中，

所述头部信息包括所述签名信息采用的非对称加密算法；

所述载荷信息包括客户端网关标识、服务器端网关标识、api接口标识记所述访问令牌的有效期；

所述签名信息为通过对所述头部信息及所述载荷信息进行摘要运算得到的摘要信息并使用所述授权服务中心的私钥对所述摘要信息进行非对称加密生成的；

(6)所述客户端网关接收所述访问令牌并将所述访问令牌及所述访问请求发送至服务器端网关；

(7)所述服务器端网关判断所述访问令牌是否有效，若是，则通过载荷信息，判断所述令牌是否在设定的有效期内；

若是，则判断所述api的标识与当前访问请求的api、所述客户端网关标识与当访问请求的客户端网关标识及所述服务器端网关标识与当访问请求的服务器端网关标识是否全部一致，若是，则接受本次访问请求。

进一步地，上述步骤(6)包括：

所述客户端网关在所述访问令牌中添加请求头参数。

进一步地，所述服务器端网关判断所述访问令牌是否有效包括：

所述服务器端网关从所述访问请求中提取访问令牌，利用base64算法，对所述访问令牌进行解码，得到所述访问令牌的头部信息、载荷信息和签名信息；

利用所述头部信息中的解密算法及所述授权服务中心设置的公钥，对所述签名信息进行解密，生成第一摘要信息；

对解密后的头部信息和载荷信息进行摘要计算，生成第二摘要信息；

判断所述第一摘要信息与所述第二摘要是否一致，若是，则确定所述访问令牌有效，若否，则拒绝本次访问请求。

本发明实施例提供的基于api网关的api接口访问方法所产生的有益效果如下：

实现了跨网关间的服务调用，并通过访问令牌提供安全认证机制，实现授权访问，能够为集团型或产业链企业间的深度业务集成提供安全、便捷、高效的服务调用支撑，满足了企业间的横向应用集成需求。

附图说明

图1是本发明实施例提供的基于api网关的api接口访问方法的流程示意图；

图2是本发明实施例提供的基于api网关的api接口访问方法的另一流程示意图。

具体实施方式

以下结合附图和具体实施例对本发明作具体的介绍。

如图1所示，本发明实施例提供的基于api网关的api接口访问方法包括以下步骤：

s101，在服务器端网关上注册需要代理的api接口，将所述服务器端网关的地址作为服务器端的地址；

s102，开启所述api接口的跨网关访问服务；

s103，将所述api接口注册到客户端网关；

s104，所述客户端网关判断其接收的访问请求对应的api接口是否为在本网关注册的api接口，若否，则将自身的标识、所述服务器网关的标识以及所述访问请求对应的api接口标识发送至授权服务中心，向所述授权服务中心申请访问令牌；

s105，所述授权服务中心根据所述客户端网关的标识、所述服务器网关的标识及所述api接口标识，生成访问令牌并将所述访问令牌发送至所述客户端网关；

其中，所述访问令牌包括头部信息、载荷信息和签名信息，其中，

所述头部信息包括所述签名信息采用的非对称加密算法；

所述载荷信息包括客户端网关标识、服务器端网关标识、api接口标识记所述访问令牌的有效期；

所述签名信息为通过对所述头部信息及所述载荷信息进行摘要运算得到的摘要信息并使用所述授权服务中心的私钥对所述摘要信息进行非对称加密生成的；

s106，所述客户端网关接收所述访问令牌并将所述访问令牌及所述访问请求发送至服务器端网关；

s107，所述服务器端网关判断所述访问令牌是否有效，若是，则通过载荷信息，判断所述令牌是否在设定的有效期内；

若是，则判断所述api的标识与当前访问请求的api、所述客户端网关标识与当访问请求的客户端网关标识及所述服务器端网关标识与当访问请求的服务器端网关标识是否全部一致，若是，则接受本次访问请求。

可选地，上述步骤s106包括：

所述客户端网关在所述访问令牌中添加请求头参数。

可选地，所述服务器端网关判断所述访问令牌是否有效包括：

所述服务器端网关从所述访问请求中提取访问令牌，利用base64算法，对所述访问令牌进行解码，得到所述访问令牌的头部信息、载荷信息和签名信息；

利用所述头部信息中的解密算法及所述授权服务中心设置的公钥对所述签名信息进行解密，生成第一摘要信息；

对解密后的头部信息和载荷信息进行摘要计算，生成第二摘要信息；

判断所述第一摘要信息与所述第二摘要是否一致，若是，则确定所述访问令牌有效，若否，则拒绝本次访问请求。

作为一个具体的实施例，如图2所示，有三家企业单位，其中a单位为总体单位，b和c分别配套执行单位。其中，a单位中的任务管理系统负责总体计划的分解与跟踪，b单位中的pdm系统和c单位的mes系统分别负责产品设计和生产。基于横向应用集成需求，上述三个应用系统分别设计开发对外服务，用于计划任务的下发与跟踪。即任务管理系统的任务回报apia，pdm系统的任务接收apib，mes系统的任务接收apic。

参阅图2，首先分别将三个服务在自身网关进行代理注册，通过各自网关对外暴露服务：apia->apia1、apib->apib1、apic->apic1，同时分别在三个api网关上分别对apia1、apib1、apic1开启api-server插件，表明三个服务可以接收来自其他网关的服务请求。

依据业务需要，a单位的任务管理系统在计划分解时，需要将pdm和mes任务分别推送至两个系统，所以任务管理系统需要分别调用apib1和apic1；而在工作执行过程中，pdm系统和mes系统需要向任务管理系统回报任务执行进度，所以二者都需要调用apia1。

其中，apia1需要分别在api网关b和c上注册，分别记为：apia12、apia13，apib1和apic1分别在api网关a注册，分别记为：apib12、apic12。

通过以上设置，a单位任务管理系统可以间接调用b单位pdm系统和c单位的mes系统的服务，反过来，pdm系统和mes系统也可以间接调用任务管理系统的服务。这样，任务管理系统在进行总体计划分解时，如果是pdm系统的任务，则调用api网关a对内暴露的服务apib12，api网关a发现apib12实际服务是在api网关b的apib1服务，所以首先向授权服务申请对应的访问令牌，然后转发请求到api网关b并携带访问令牌，网关b接收到请求后，首先提取令牌并验证令牌的有效性，其次验证令牌中的访问信息，都通过后将请求转发到apib。

如果是mes系统的任务，则调用api网关a对内暴露的服务apic12，api网关a发现apic12实际服务是在api网关c的apic1服务，所以首先向授权服务申请对应的访问令牌，然后转发请求到api网关c并携带访问令牌，api网关c接收到请求后，首先提取令牌并验证令牌的有效性，其次验证令牌中的访问信息，都通过后将请求转发到apic。

pdm系统在执行过程中，根据计划进度的要求，多次或最终一次调用api网关b对内暴露的服务apia12；api网关b同样先从授权服务获取对应的访问令牌，转发请求到api网关a并携带访问令牌，api网关a收到请求后，首先提取令牌并验证令牌的有效性，其次验证令牌中的访问信息，都通过后将请求转发到apia。

mes系统在执行过程中，根据计划进度的要求，多次或最终一次调用api网关c对内暴露的服务apia13；api网关c同样先从授权服务获取对应的访问令牌，转发请求到api网关a并携带访问令牌，api网关a收到请求后，首先提取令牌并验证令牌的有效性，其次验证令牌中的访问信息，都通过后将请求转发到apia。

本发明实施例提供的基于api网关的api接口访问方法，通过在服务器端网关上注册需要代理的api接口，将服务器端网关的地址作为服务器端的地址，开启所述api接口的跨网关访问服务，将api接口注册到客户端网关，客户端网关判断其接收的访问请求对应的api接口是否为在本网关注册的api接口，若否，则将自身的标识、所述服务器网关的标识以及所述访问请求对应的api接口标识发送至授权服务中心，向所述授权服务中心申请访问令牌，授权服务中心根据客户端网关的标识、服务器网关的标识及api接口标识，生成访问令牌并将访问令牌发送至客户端网关，客户端网关接收访问令牌并将访问令牌及访问请求发送至服务器端网关，服务器端网关判断所述访问令牌是否有效，实现了跨网关间的服务调用，并通过访问令牌提供安全认证机制，实现授权访问，能够为集团型或产业链企业间的深度业务集成提供安全、便捷、高效地服务调用支撑，满足了企业间的横向应用集成需求。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

此外，存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)，存储器包括至少一个存储芯片。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。