統一入口,
用戶認證,
用戶鑑權,
權限校驗,
黑名單和白名單:
動態黑名單和動態白名單:
接口限流,
服務熔斷,
請求過濾,
請求轉發,
時間戳機制:
數據是很容易被抓包的,但是經過如上的加密,加簽處理,就算拿到數據也不能看到真實的數據;但是有不法者不關心真實的數據,而是直接拿到抓取的數據包進行惡意請求;這時候可以使用時間戳機制,在每次請求中加入當前的時間,服務器端會拿到當前時間和消息中的時間相減,看看是否在一個固定的時間範圍內比如5分鐘內;這樣惡意請求的數據包是無法更改裏面時間的,所以5分鐘後就視爲非法請求了;
接口簽名,
APPID機制:
大部分網站基本都需要用戶名和密碼才能登錄,並不是誰來能使用我的網站,這其實也是一種安全機制;
對應的對外提供的接口其實也需要這麼一種機制,並不是誰都可以調用,需要使用接口的用戶需要在後臺開通appid,
提供給用戶相關的密鑰;在調用的接口中需要提供appid+密鑰,服務器端會進行相關的驗證;
數據合法性校驗:
這個可以說是每個系統都會有的處理機制,只有在數據是合法的情況下才會進行數據處理;每個系統都有自己的驗證規則,
當然也可能有一些常規性的規則,比如身份證長度和組成,電話號碼長度和組成等等;
防XSS和SQL注入:
監控:記錄請求響應數據,api耗時分析,性能監控
緩存:數據緩存
日誌:日誌記錄
跨域訪問:
請求重試:
動態路由等功能:
定向流量分發策略,也就是自定義Nginx的流量分發策略:
動態封禁IP和緩存功能:
協議轉換:如 HTTP => RPC協議
基於機器學習, 預測流量高峯.
灰度發佈:Spring cloud Gateway 天然支持灰度發佈,他已經在線支持了,不過灰度發佈一定要結合動態路由來操作
