Infini API智能安全网关主要是基于Kong自研的分布式网关，由于Kong是基于OpenResty的升级改造，具备高性能、易扩展、稳定可靠、产品概念良好的特性。

API网关 是最核心的模块之一，他是整个产品的主要骨架，主要包含了路由转发、安全、认证、格式转换、WAF、微服务网关功能。

API管理平台 主要是API治理层面，实现了API设计、API开发、API测试、API部署、API销毁的全生命周期管理。还包含了API网关管理配置、日志监控、日志分析、BI报表等管理的功能。

API门户 主要包括了服务目录、API申请、计费管理、文档管理、管理等功能。

软件产品设计中，可插拔机制是一个非常重要的特性，我们实现的API网关就是基于这种机制进行的实现，所有功能插件都是只有配置的时候立即生效。

API网关目前的公共组件功能分为6大块，他们是安全、认证、流控、格式转换、协议转换、微服务、监控和分析。

API网关中有一个比较核心的功能是安全，这个安全主要是外部用户调用网管内的API，通过API网关实现用户认证、安全、WAF、流量控制等功能。

根据客户的需求整理了一些插件主要包含如下：

? OAuth2认证，通过外部认证中心（开源Kong中没有实现）

? MD5验签

? Kafka日志插件

? 针对API全局流控插件

? 接口缓存插件

? 灰度发布插件

? WAF插件（IP拦截、SQL注入等）

? RBAC插件

? Dubbo&gRPC转换插件

? 流量复制和流量回放

组件中认证和安全防护是API网关最重要的一个产品功能，API网关是所有流量入口的一道重要防线，为企业内的业务系统服务保驾护航。

下面主要从两个方面来阐述下，如何实现用户认证和API鉴权以及安全防护：

（一）Oauth2安全认证是互联网非常成熟的认证，结合API网关可以实现统一的身份认证和的统一管理。

主要的步骤说明如下：

步：获取Token

1. 消费者填写用户名和密码，在界面进行登录，消费者携带用户名和密码以及client_id以及client_secret发送给Kong网关；

2. Kong网关负责将请求代理转发给后端应用；

3. 后端应用将用户名和密码发送给统一身份认证中心进行认证，认证成功后返回True；

4. 认证成功后通过client_id、client_secret、provision_key发送给Kong获取Token；

5. Kong根据请求的header头参数，进行参数验证；

6. 验证通过，将Token返回给后端应用；

7. 后端应用将Token返回Kong；

8. Kong将Token返回给消费者。

第二步：验证Token，并请求后端资源服务

1. 消费者携带Token，请求需要访问的资源服务；

2. Kong将请求的Token进行验证；

3. 验证通过，代理转发到后端服务，如果后端服务是多实例的，可以负载分发到后端实例；

4. 后端实例根据请求的参数，返回后端服务资源；；

5. 后端服务资源内容有Kong转发给消费者。

第三步：获取刷新Token

1. 消费者将client_id和client_secret发送给Kong进行获取refresh_token；

2. Kong根据请求参数进行验证，验证通过将refresh_token返回给消费端。

关注点：

1. 认证中心需要调用API网关Token 服务才能获取Token，因为API网关需要记录Token值，才能在二次调用的时候进行验证。

2. API鉴权中心和API网关进行分离，实现产品设计中的松耦合特性。

（二）通过WAF组件、日志分析模块、告警模块、日志监控模块可以实现事前预警、事中防御、事后调查和分析。

1. 事前预警

2. 事中防御

3. 事后调查

重要场景

1. 打通企业云上云下本地应用，重塑业务架构。

2. 对外开放企业能力，建设企业API生态圈，实现API能力变现，整合内外服务能力，快速响应业务变化。

3. 保证API应用安全，实现态势感知、主动防御。

4. 实现数据共享和传递，数据价值变现。

企业的架构总是在不断的进行演进，从集中式SOA架构、分布式微服务架构、到云原生的服务网格，业务是企业架构演进的动力，无论架构如何变化，API网关做为微服务的流量统一入口，为调用提供安全、高效、可视化的监控保障。相信越来越多的企业在践行CI/CD的过程中会越来越重视API网关，通过API网关打通云上、云上、企业内部、第三方，实现企业内部服务赋能，敏捷响应企业的业务变化。