Go微服务API网关应基于net/http或gin等框架,以动态反向代理为核心,集成JWT鉴权、令牌桶限流、CORS、日志与OpenTelemetry可观测性,确保职责清晰、可扩展易维护。
在 Go 语言中实现一个轻量、可扩展的微服务 API 网关,核心是用 net/http 或成熟框架(如 gorilla/mux、gin)做路由分发,再叠加中间件完成统一入口、身份认证、限流、日志、跨域等安全与治理能力。它不一定要复杂,关键是职责清晰、易于维护。
定义统一入口:反向代理 + 动态路由
网关本质是一个智能反向代理。Go 标准库的 httputil.NewSingleHostReverseProxy 可快速代理请求到后端服务。关键是要支持按路径、Header 或 Host 动态选择上游服务:
- 用 map 或配置中心(如 etcd / JSON 文件)管理服务路由表,例如
/user/* → http://user-svc:8080
- 在 handler 中解析请求路径,匹配前缀,重写
req.URL后交由 reverse proxy 转发 - 注意修正
X-Forwarded-For、X-Real-IP和 Host 头,避免后端丢失原始客户端信息
集成身份认证与权限校验
所有请求必须经过鉴权层,常见方式有 JWT、API Key、OAuth2 Bearer Token:
- 提取 Authorization Header,验证签名与过期时间(可用
golang-jwt/jwt/v5) - 解析出用户 ID、角色、scopes,存入
context.Context供后续中间件或后端使用 - 结合路由路径做 RBAC 检查,例如
POST /admin/users要求role == "admin" - 失败时统一返回
401 Unauthorized或403 Forbidden,不透出内部逻辑
添加基础安全中间件
网关是第一道防线,应默认启用多项防护措施:
-
限流:用
golang.org/x/time/rate实现令牌桶,按 IP 或用户 ID 限速(如 100 req/min) -
请求体限制:用
http.MaxBytesReader防止大文件上传耗尽内存 -
CORS:对非预检请求自动加
Access-Control-Allow-Origin等头;预检请求直接204 No Content响应 -
敏感 Header 过滤:移除
Cookie、Authorization等不应透传给某些后端的头
可观测性与调试支持
生产网关必须具备基本可观测能力:
- 记录结构化访问日志(method、path、status、latency、client IP、trace ID)
- 集成 OpenTelemetry,自动注入 trace context 并上报 span(如通过
go.opentelemetry.io/otel) - 暴露健康检查端点(
/healthz)和指标端点(/metrics,用prometheus/client_golang) - 支持动态加载路由配置和中间件开关,避免重启生效
不复杂但容易忽略。重点不在造轮子,而在把路由、鉴权、限流、日志这几件事串成一条干净可控的请求链路。
