数据结构与算法简记--剖析微服务接口鉴权限流背后的数据结构和算法

Posted wod-y

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了数据结构与算法简记--剖析微服务接口鉴权限流背后的数据结构和算法相关的知识,希望对你有一定的参考价值。

微服务鉴权限流剖析


 微服务

  • 把复杂的大应用,解耦拆分成几个小的应用。
  • 有利于团队组织架构的拆分,毕竟团队越大协作的难度越大;
  • 每个应用都可以独立运维,独立扩容,独立上线,各个应用之间互不影响。
  • 有利就有弊:
    • 大应用拆分成微服务之后,服务之间的调用关系变得更复杂,平台的整体复杂熵升高,出错的概率、debug 问题的难度都高了好几个数量级。
  • 为了解决这些问题,服务治理便成了微服务的一个技术重点

服务治理

  • 简单点讲,就是管理微服务,保证平台整体正常、平稳地运行。
  • 涉及的内容:鉴权、限流、降级、熔断、监控告警等等。
  • 服务治理功能的实现,底层依赖大量的数据结构和算法。这里拿其中的鉴权和限流这两个功能,剖析一下实现过程中用到的数据结构和算法。

鉴权

  • 有一个微服务叫用户服务(User Service)。它提供很多用户相关的接口,比如获取用户信息、注册、登录等,给公司内部的其他应用使用。
  • 并不是公司内部所有应用,都可以访问这个用户服务,也并不是每个有访问权限的应用,都可以访问用户服务的所有接口。
  • 技术图片
  •  

    需要实现接口鉴权功能

    • 事先将应用对接口的访问权限规则设置好。

    • 当某个应用访问其中一个接口的时候,可以拿应用的请求 URL,在规则中进行匹配。

    • 如果匹配成功,就说明允许访问;

    • 如果没有可以匹配的规则,说明这个应用没有这个接口的访问权限,就拒绝服务。 

  • 如何实现快速鉴权
    • 用什么数据结构来存储规则?
    • 用户请求 URL 在规则中快速匹配,用什么的算法?
    • 不同的规则和匹配模式,对应的数据结构和匹配算法也是不一样。
  • 如何实现精确匹配规则
    • 简单规则
    • 技术图片
    • 不同的应用对应不同的规则集合,可以采用散列表来存储这种对应关系。
    • 每个应用对应的规则集合,该如何存储和匹配?
      • 可以将每个应用对应的权限规则,存储在一个字符串数组中。
      • 当用户请求到来时,拿用户的请求 URL,在这个字符串数组中逐一匹配,匹配的算法就是我们之前学过的字符串匹配算法(比如 KMP、BM、BF 等)
      • 规则不会经常变动,所以,为了加快匹配速度,可以按照字符串的大小给规则排序,把它组织成有序数组这种数据结构。
      • 当要查找某个 URL 能否匹配其中某条规则的时候,可以采用二分查找算法,在有序数组中进行匹配
  • 如何实现前缀匹配规则?
    • 稍微复杂的匹配模式:只要某条规则可以匹配请求 URL 的前缀,这条规则就能够跟这个请求 URL 匹配。
    • 技术图片
    • Trie 树非常适合用来做前缀匹配
    • 可以将每个用户的规则集合,组织成 Trie 树这种数据结构。
    • Trie 树中的每个节点不是存储单个字符,而是存储接口被“/”分割之后的子目录(比如“/user/name”被分割为“user”“name”两个子目录)。
    • 同样的,规则不会经常变动,所以,在 Trie 树中,可以把每个节点的子节点们,组织成有序数组这种数据结构。
    • 当在匹配的过程中,可以利用二分查找算法,决定从一个节点应该跳到哪一个子节点
    • 技术图片
  • 如何实现模糊匹配规则?

    • 更加复杂的匹配模式:规则中包含通配符,比如“**”表示匹配任意多个子目录,“*”表示匹配任意一个子目录。只要用户请求 URL 可以跟某条规则模糊匹配,这条规则适用于这个请求。
    • 技术图片
    • 可以借助正则表达式那个例子的解决思路,来解决这个问题。采用回溯算法,拿请求 URL 跟每条规则逐一进行模糊匹配。

    • 回溯算法复杂度是非常高,如何优化

      •  把不包含通配符的规则和包含通配符的规则分开处理(分治思想)

      • 把不包含通配符的规则,组织成有序数组或者 Trie 树进行精确或前缀匹配(具体组织成什么结构,视具体的需求而定,是精确匹配,就组织成有序数组,是前缀匹配,就组织成 Trie 树)。

      • 剩下的是少数包含通配符的规则,只要把它们简单存储在一个数组中就可以了。尽管匹配起来会比较慢,但是毕竟这种规则比较少,所以这种方法也是可以接受的。

      • 当接收到一个请求 URL 之后,先在不包含通配符的有序数组或者 Trie 树中查找。如果能够匹配,就不需要继续在通配符规则中匹配了;如果不能匹配,就继续在通配符规则中查找匹配。

限流

  • 对接口调用的频率进行限制。比如每秒钟不能超过 100 次调用,超过之后,就拒绝服务。
  • 在很多场景中,发挥着重要的作用。比如在秒杀、大促、双 11、618 等场景中,限流已经成为了保证系统平稳运行的一种标配的技术解决方案
  • 按照不同的限流粒度分类:
    • 每个接口限制不同的访问频率
    • 给所有接口限制总的访问频率
    • 限制某个应用对某个接口的访问频率
  • 如何实现精准限流?
    • 固定时间窗口限流算法:
      • 选定一个时间起点,之后每当有接口请求到来,将计数器加一。
      • 如果在当前时间窗口内,根据限流规则(比如每秒钟最大允许 100 次访问请求),出现累加访问次数超过限流值的情况时,我们就拒绝后续的访问请求。
      • 当进入下一个时间窗口之后,计数器就清零重新计数。
      • 技术图片
      • 缺点:限流策略过于粗略,无法应对两个时间窗口临界时间内的突发流量
        • 第一个 1s 时间窗口内,100 次接口请求都集中在最后 10ms 内。
        • 第二个 1s 的时间窗口内,100 次接口请求都集中在最开始的 10ms 内。
        • 虽然两个时间窗口内流量都符合限流要求(≤100 个请求),但在两个时间窗口临界的 20ms 内,会集中有 200 次接口请求。
        • 固定时间窗口限流算法并不能对这种情况做限制,所以,集中在这 20ms 内的 200 次请求就有可能压垮系统。
    • 滑动时间窗口限流算法
      • 假设限流的规则是,在任意 1s 内,接口的请求次数都不能大于 K 次。
      • 维护一个大小为 K+1 的循环队列,用来记录 1s 内到来的请求。注意,这里循环队列的大小等于限流次数加一,因为循环队列存储数据时会浪费一个存储单元。
      • 当有新的请求到来时,将与这个新请求的时间间隔超过 1s 的请求,从队列中删除。
      • 再来看循环队列中是否有空闲位置:
        • 如果有,则把新请求存储在队列尾部(tail 指针所指的位置);
        • 如果没有,则说明这 1 秒内的请求次数已经超过了限流值 K,所以这个请求被拒绝服务。
      • 技术图片
      •  

         只能在选定的时间粒度上限流,对选定时间粒度内的更加细粒度的访问频率不做限制。

      • 王争限流框架:https://github.com/wangzheng0822/ratelimiter4j

 

 

 

以上是关于数据结构与算法简记--剖析微服务接口鉴权限流背后的数据结构和算法的主要内容,如果未能解决你的问题,请参考以下文章

微服务网关鉴权:gateway使用网关限流使用用户密码加密JWT鉴权

微服务网关鉴权:gateway使用网关限流使用用户密码加密JWT鉴权

spring cloud微服务架构中使用自定义注解实现简单的权限控制与权限开关

spring cloud微服务架构中使用自定义注解实现简单的权限控制与权限开关

服务治理最佳实践:如何快速依据请求参数值进行服务路由鉴权限流?

认证鉴权与API权限控制在微服务架构中的设计与实现