Erstellung eines leichten Go API Gateways für Authentifizierung, Ratenbegrenzung und Routing
Grace Collins
Solutions Engineer · Leapcell
Einleitung
In der sich entwickelnden Landschaft von Microservices kann die Verwaltung zahlreicher autonomer Dienste schnell komplex werden. Clients müssen oft mit mehreren Diensten interagieren, was zu Herausforderungen bei der Authentifizierung, der Drosselung von Anfragen und der Ermittlung der richtigen Dienstendpunkte führt. Hier erweist sich ein API-Gateway als unschätzbar wertvoll. Es fungiert als einzelner Einstiegspunkt für alle Client-Anfragen, zentralisiert effektiv gemeinsame Anliegen und vereinfacht die Client-Service-Interaktionen. Durch die Auslagerung gemeinsamer Anliegen wie Sicherheit, Ratenbegrenzung und Dienstermittlung an das Gateway können sich einzelne Microservices auf ihre Kern-Geschäftslogik konzentrieren. Dieser Artikel führt Sie durch die Erstellung eines einfachen, aber leistungsstarken API-Gateways in Go und zeigt, wie Sie Authentifizierung, Ratenbegrenzung und Anfrage-Routing implementieren – Schlüssel-Funktionalitäten, die das wahre Potenzial eines gut architektonisch gestalteten Microservice-Ökosystems erschließen.
Gateway Grundlagen: Kernkonzepte verstehen
Bevor wir uns mit der Implementierung befassen, definieren wir die Kernkonzepte, die unserem API-Gateway zugrunde liegen:
- API-Gateway: Ein Server, der als API-Frontend fungiert, API-Anfragen empfängt, Richtlinien (wie Sicherheits- und Kontingentverwaltung) durchsetzt und Anfragen an die entsprechenden Backend-Dienste weiterleitet. Es abstrahiert die Komplexität der Microservice-Architektur vom Client.
- Authentifizierung: Der Prozess der Überprüfung der Identität eines Clients. In unserem Kontext validiert das Gateway die Anmeldeinformationen (z. B. API-Schlüssel, JWTs), bevor eine Anfrage an einen Backend-Dienst weitergeleitet wird. Dies stellt sicher, dass nur autorisierte Clients auf Ressourcen zugreifen können.
- Ratenbegrenzung: Eine Strategie zur Steuerung der Menge des eingehenden oder ausgehenden Datenverkehrs zu einem Netzwerk oder einem Dienst. Sie verhindert Missbrauch, gewährleistet faire Nutzung und schützt Backend-Dienste vor Überlastung durch übermäßige Anfragen. Token-Bucket- oder Leaky-Bucket-Algorithmen sind gängige Implementierungen.
- Routing: Der Prozess der Weiterleitung einer eingehenden Anfrage an den richtigen Backend-Dienst basierend auf vordefinierten Regeln. Diese Regeln umfassen typischerweise den Abgleich von URL-Pfaden, HTTP-Methoden oder anderen Anfrage-Headern mit bestimmten Dienstendpunkten.
Diese Funktionalitäten, die in einem API-Gateway zentralisiert sind, verbessern die Verwaltbarkeit, Sicherheit und Widerstandsfähigkeit eines Microservice-Systems erheblich.
Das Gateway erstellen: Implementierungsdetails und Codebeispiele
Unser Go-API-Gateway wird das Paket net/http zur Verarbeitung von HTTP-Anfragen und das Paket gorilla/mux für erweiterte Routing-Funktionen nutzen. Wir werden unser Gateway mit separaten Middlewaren für Authentifizierung und Ratenbegrenzung sowie einem Kern-Router für die Weiterleitung von Anfragen strukturieren.
Zuerst richten wir unser Projekt ein und definieren eine einfache Hauptfunktion:
package main import ( "log" "net/http" "time" "github.com/gorilla/mux" ) // Main function to initialize the gateway func main() { router := mux.NewRouter() // Register middleware and routes router.Use(LoggingMiddleware) // Basic logging for all requests // Example services (replace with actual service calls) backendService1 := "http://localhost:8081" backendService2 := "http://localhost:8082" // Define routes with middleware publicRoute := router.PathPrefix("/public").Subrouter() publicRoute.HandleFunc("/{path:.*}", NewProxy(backendService1)).Methods("GET") // No auth/rate limit authenticatedRoute := router.PathPrefix("/private").Subrouter() authenticatedRoute.Use(AuthenticationMiddleware) authenticatedRoute.Use(RateLimitingMiddleware) authenticatedRoute.HandleFunc("/{path:.*}", NewProxy(backendService2)).Methods("GET", "POST", "PUT", "DELETE") log.Println("API Gateway listening on :8080") log.Fatal(http.ListenAndServe(":8080", router)) } // LoggingMiddleware logs every incoming request func LoggingMiddleware(next http.Handler) http.Handler { return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) { start := time.Now() log.Printf("Received request: %s %s from %s", r.Method, r.URL.Path, r.RemoteAddr) next.ServeHTTP(w, r) log.Printf("Completed request: %s %s in %s", r.Method, r.URL.Path, time.Since(start)) }) }
1. Anfrage-Routing
Die Funktion NewProxy übernimmt die eigentliche Weiterleitung von Anfragen an die Backend-Dienste. Wir verwenden httputil.ReverseProxy dafür.
package main import ( // ... (existing imports) "net/http/httputil" "net/url" ) // NewProxy creates a ReverseProxy that forwards requests to a target URL func NewProxy(targetURL string) http.HandlerFunc { target, err := url.Parse(targetURL) if err != nil { log.Fatalf("Failed to parse target URL %s: %v", targetURL, err) } proxy := httputil.NewSingleHostReverseProxy(target) // Custom error handler for the proxy proxy.ErrorHandler = func(rw http.ResponseWriter, r *http.Request, err error) { log.Printf("Proxy error for request %s %s: %v", r.Method, r.URL.Path, err) http.Error(rw, "Service temporarily unavailable", http.StatusBadGateway) } return func(w http.ResponseWriter, r *http.Request) { // Modify the request to pass the original path to the backend // This handles cases where the gateway route has a prefix requestPath := mux.Vars(r)["path"] r.URL.Path = "/" + requestPath r.URL.Host = target.Host // Explicitly set host to target host for correct routing log.Printf("Proxying request to %s%s", target.String(), r.URL.Path) proxy.ServeHTTP(w, r) } }
In dieser Routing-Einrichtung erstellt mux.NewRouter() unseren Haupt-Router. Wir definieren dann PathPrefix-Routen /public und /private. Die authenticationMiddleware und rateLimitingMiddleware werden bedingt auf die Route /private mit authenticatedRoute.Use() angewendet, was zeigt, wie Middleware auf bestimmte Routengruppen angewendet wird. Die Funktion NewProxy erstellt dynamisch einen Reverse-Proxy für jeden Backend-Dienst.
2. Authentifizierung
Für die Authentifizierung implementieren wir eine einfache API-Schlüssel-Validierung. In einem realen Szenario würde dies ausgefeiltere Mechanismen wie JWT-Validierung oder OAuth2 umfassen.
package main import ( // ... (existing imports) "net/http" "strings" ) const ( APIKeyHeader = "X-Api-Key" ValidAPIKey = "supersecretapikey" // In a real app, fetch from config/env ) // AuthenticationMiddleware validates the API key in the request header func AuthenticationMiddleware(next http.Handler) http.Handler { return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) { apiKey := r.Header.Get(APIKeyHeader) if strings.TrimSpace(apiKey) == "" { log.Printf("Authentication failed: Missing %s header from %s", APIKeyHeader, r.RemoteAddr) http.Error(w, "Unauthorized: API Key Missing", http.StatusUnauthorized) return } if apiKey != ValidAPIKey { log.Printf("Authentication failed: Invalid API Key from %s", r.RemoteAddr) http.Error(w, "Unauthorized: Invalid API Key", http.StatusUnauthorized) return } // If authentication is successful, proceed to the next handler log.Printf("Authentication successful for client from %s", r.RemoteAddr) next.ServeHTTP(w, r) }) }
Die AuthenticationMiddleware prüft auf einen X-Api-Key-Header und validiert ihn gegen einen vordefinierten ValidAPIKey. Wenn der Schlüssel fehlt oder ungültig ist, gibt sie einen 401 Unauthorized-Status zurück. Andernfalls wird die Anfrage an den nächsten Handler in der Kette weitergeleitet.
3. Ratenbegrenzung
Wir implementieren einen einfachen Token-Bucket-Ratenbegrenzer pro Client-IP-Adresse. Für die Produktion sollten Sie eine verteilte Lösung wie Redis in Betracht ziehen.
package main import ( // ... (existing imports) "sync" "time" ) // RateLimiterConfig defines the rate limiting parameters type RateLimiterConfig struct { MaxRequests int Window time.Duration } // clientBucket represents a token bucket for a specific client type clientBucket struct { tokens int lastRefill time.Time mu sync.Mutex } var ( // In a real application, consider a LRU cache for buckets to prevent unbounded growth clientBuckets = make(map[string]*clientBucket) bucketsMutex sync.Mutex defaultRateConfig = RateLimiterConfig{MaxRequests: 5, Window: 1 * time.Minute} ) // getClientBucket retrieves or creates a token bucket for a client IP func getClientBucket(ip string) *clientBucket { bucketsMutex.Lock() defer bucketsMutex.Unlock() bucket, exists := clientBuckets[ip] if !exists { bucket = &clientBucket{ tokens: defaultRateConfig.MaxRequests, lastRefill: time.Now(), } clientBuckets[ip] = bucket } return bucket } // consumeToken attempts to consume a token from the client's bucket func (b *clientBucket) consumeToken() bool { b.mu.Lock() defer b.mu.Unlock() // Refill tokens based on time elapsed now := time.Now() elapsed := now.Sub(b.lastRefill) refillAmount := int(elapsed.Seconds() / defaultRateConfig.Window.Seconds() * float64(defaultRateConfig.MaxRequests)) if refillAmount > 0 { b.tokens = min(b.tokens+refillAmount, defaultRateConfig.MaxRequests) b.lastRefill = now } if b.tokens > 0 { b.tokens-- return true } return false } func min(a, b int) int { if a < b { return a } return b } // RateLimitingMiddleware enforces rate limits per client IP func RateLimitingMiddleware(next http.Handler) http.Handler { return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) { ip := strings.Split(r.RemoteAddr, ":")[0] // Get client IP from remote address log.Printf("Rate limiting check for IP: %s", ip) bucket := getClientBucket(ip) if !bucket.consumeToken() { log.Printf("Rate limit exceeded for IP: %s", ip) http.Error(w, "Too Many Requests", http.StatusTooManyRequests) return } log.Printf("Rate limit token consumed for IP: %s. Remaining: %d", ip, bucket.tokens) next.ServeHTTP(w, r) }) }
Die RateLimitingMiddleware implementiert einen grundlegenden Token-Bucket-Algorithmus. Jede Client-IP erhält einen eigenen Bucket. Wenn ein Client versucht, eine Anfrage zu stellen, wenn sein Bucket leer ist, erhält er eine Fehlermeldung 429 Too Many Requests. Die Token werden gemäß der RateLimiterConfig im Laufe der Zeit aufgefüllt.
Anwendungsszenario
Um dieses Gateway zu testen, hätten Sie typischerweise zwei einfache Backend-Dienste, die auf localhost:8081 und localhost:8082 laufen. Zum Beispiel:
Backend-Dienst 1 (z. B. public-service.go auf Port 8081):
package main import ( "fmt" "log" "net/http" ) func main() { http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) { log.Printf("Public service received request: %s %s", r.Method, r.URL.Path) fmt.Fprintf(w, "Hello from Public Service! You accessed %s\n", r.URL.Path) }) log.Println("Public Service listening on :8081") log.Fatal(http.ListenAndServe(":8081", nil)) }
Backend-Dienst 2 (z. B. private-service.go auf Port 8082):
package main import ( "fmt" "log" "net/http" ) func main() { http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) { log.Printf("Private service received request: %s %s", r.Method, r.URL.Path) fmt.Fprintf(w, "Hello from Private Service! You accessed %s\n", r.URL.Path) }) log.Println("Private Service listening on :8082") log.Fatal(http.ListenAndServe(":8082", nil)) }
Führen Sie diese beiden Dienste und dann Ihr Gateway aus.
- Anfragen an
http://localhost:8080/public/resourcegehen ohne Authentifizierung oder Ratenbegrenzung anbackendService1. - Anfragen an
http://localhost:8080/private/dataerfordern den HeaderX-Api-Key: supersecretapikeyund unterliegen der Ratenbegrenzung, die nach erfolgreicher Validierung anbackendService2weitergeleitet wird.
Dieser strukturierte Ansatz ermöglicht Modularität und einfache Erweiterbarkeit, da weitere Middleware für Protokollierung, Nachverfolgung oder Unterbrechungsschalter hinzugefügt werden können.
Fazit
Die Erstellung eines API-Gateways in Go, wie demonstriert, bietet eine robuste und effiziente Möglichkeit zur Verwaltung von Microservice-Interaktionen. Durch die Zentralisierung von Kernfunktionalitäten wie Authentifizierung, Ratenbegrenzung und Anfrage-Routing vereinfacht das Gateway die Client-Entwicklung, verbessert die Sicherheit, optimiert die Leistung und ermöglicht eine einfachere Wartung eines verteilten Systems. Dieser Ansatz ermöglicht es einzelnen Microservices, schlank zu bleiben und sich auf ihre spezifische Geschäftslogik zu konzentrieren, was letztendlich zu einer skalierbareren und widerstandsfähigeren Architektur führt. Ein gut implementiertes API-Gateway ist für jede moderne Microservice-Bereitstellung unverzichtbar.
Share this article
![x](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g><g fill="%23000000"><path d="M0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g></svg>){kind=small}
![facebook](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g><g fill="%233b5998"><path d="M0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g></svg>){kind=small}
![linkedin](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g><g fill="%23007fb1"><path d="M0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g></svg>){kind=small}
![reddit](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g><g fill="%23FF4500"><path d="M0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g></svg>){kind=small}
![telegram](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g><g fill="%2349a9e9"><path d="M0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g></svg>){kind=small}
