qixiaobo
commented
4 years ago 这个应当dubbo provider提供吧
Open qtvbwfn opened 4 years ago
qixiaobo
commented
4 years ago 这个应当dubbo provider提供吧
qtvbwfn
commented
4 years ago 这个应当dubbo provider提供吧
大神,按正常的逻辑,dubbo所有的服务都是对内服务的,而网关是接通对内和对外的唯一入口。为了保障内部服务,肯定不能随便让外部系统直接能访问全部的内部服务吧。对json进行参数签名校验以及IP黑白名单,至少可以抵抗非法的外部访问,尽量让内部的provider专心做自己的业务。
qixiaobo
commented
4 years ago 这个应当dubbo provider提供吧
大神,按正常的逻辑,dubbo所有的服务都是对内服务的,而网关是接通对内和对外的唯一入口。为了保障内部服务,肯定不能随便让外部系统直接能访问全部的内部服务吧。对json进行参数签名校验以及IP黑白名单,至少可以抵抗非法的外部访问,尽量让内部的provider专心做自己的业务。
哦 我误解你的意思了 我以为你说那种针对dubbo-proxy的调用 因为dubbo-proxy也只是一个普通的consumer 你的问题应当是在dubbo-proxy上增加新的feature 控制调用次数 鉴权等等吧 这个建议吧dubbo-proxy前面再加一层网关解决
qtvbwfn
commented
4 years ago 这个应当dubbo provider提供吧
大神,按正常的逻辑,dubbo所有的服务都是对内服务的,而网关是接通对内和对外的唯一入口。为了保障内部服务,肯定不能随便让外部系统直接能访问全部的内部服务吧。对json进行参数签名校验以及IP黑白名单,至少可以抵抗非法的外部访问,尽量让内部的provider专心做自己的业务。
哦 我误解你的意思了 我以为你说那种针对dubbo-proxy的调用 因为dubbo-proxy也只是一个普通的consumer 你的问题应当是在dubbo-proxy上增加新的feature 控制调用次数 鉴权等等吧 这个建议吧dubbo-proxy前面再加一层网关解决
再加一层,有点浪费资源啊,觉得可以支持自定义过滤器,想加啥就加啥。
liuliuzo
commented
4 years ago 那个是防火墙做的吧,proxy还是做的简单些好只做协议转换,其它的都由provider提供,不然实战中容易架构混乱,问题排查很会难排查。
qixiaobo
commented
4 years ago 那个是防火墙做的吧,proxy还是做的简单些好只做协议转换,其它的都由provider提供,甚至客户端限流都不用,服务端限流就好,不然实战中容易架构混乱,问题排查很会难排查。 实际工作中一般都会混用 比如dubbo超时客户端服务端都可以设置 dubbo的qps客户端和服务端都可以做 只是服务端一定要做 类似于后端校验 光前端做是不够的
如标题,需要加强的安全机制包括两方面: 1、dubbo-proxy对内部服务的访问应当加以控制(安全策略配置),避免所有内部服务全通 2、增加对接口参数校验、IP黑白名单等初级到高级的安全策略