淘宝开放平台网关技术解密

1. Alibaba Group 淘宝开放平台网关技术揭密顾风胜

2. Alibaba Group 目录 01 ｜开放平台概览 02 ｜ API网关介绍 03 ｜ API接入自动化 04 ｜开放平台工厂 05 ｜开放平台安全

3. Alibaba Group 第一部分

4. Alibaba Group 开放平台大图服务市场门户生活导购无线应用百万级开发者百川开放千牛插件 C2B定制互动插件千牛开放手淘开放 SAAS软件 ERP/WMS/CRM 聚石塔电商云千级应用亿级订单/天 90%+ 淘宝卖家授权使用百万级上线应用放 5000+ API 百亿级/天综合业务内部应用安开全阿里开放平台 1000+ Topic 百亿级/天授权使用 98%+ 天猫商家 tasp 淘系阿里云菜鸟网络支付宝 B2B …

5. Alibaba Group 开放平台技术架构共享服务数据推送发票平台千牛平台二方应用 ISV控制台文档中心支持中心沙箱环境三方应用应用层运营管理 SDK 应用接入层数据中心 HTTP1/2 控制中心计费中心授权中心数据访问 API 协议消息协议协议转换访问控制 API接入 API编排 HSF 阿里集团 WebSocket 安全控制服务调用 API管理 API统计 Dubbo HTTP Notify 蚂蚁金服菜鸟网络合作公司 SPI 协议协议层 HTTP1 日志统计流程与工具网关层服务接入层 Map/Reduce 大数据服务层

6. Alibaba Group 开放平台产品架构用户 ISV 面向开发者提供应用生态闭环门户首页业务定制门户支持中心组件 API接入 API 文档组件开发者社区 iOS/Android市场分发 APP 订购开放平台统一门户文档中心组件下载淘宝服务市场发布开发、测试、部署、上线、监控开发者控制台服务端 SDK 移动端 SDK API网关 + 消息网关 + 数据推送 + 登录授权数据中心面向服务提供方（ISP）提供一站式API接入与管控平台沙箱环境外部云环境聚石塔 + EWS 运营管理 ISP

7. Alibaba Group 第二部分

8. 如何打造高可靠的API网关 API请求全异步化 API元数据无阻塞调用 API网关升级插件化 API访问控制透明化丰富的API流量控制 API弱网高效访问 Alibaba Group

9. Alibaba Group API网关技术架构三方应用内部应用通讯协议 HTTPS HTTP/1 HTTP/2 HSF 网关协议 API协议其他协议日志与监控权限控制 Local Cache Database 批量协议访问控制（LBAC） HDCC Remote Cache 消息协议数据源流量控制黑白名单安全控制参数校验参数映射参数转换服务调用日志打点服务协议（Mapping） HSF 阿里集团 HTTP DUBBO 蚂蚁金服其他菜鸟网络调用记录查询日志上传实时分析统计离线分析统计

10. Alibaba Group API网关部署架构 https://eco.taobao.com http://gw.api.taobao.com http(s)://apigw.taobao.com HTTP1.1短连 HTTPS短连 HTTP2(C/S)长连 LVS Cluster VIP Group1 VIP Group3 VIP Group2 SSL Proxy Cluster AServer Cluster Nginx Nginx with VipClient with VipClient HTTP短连 API Gateway Cluster HTTP短连 API Gateway API Gateway API Gateway Nginx Nginx Nginx HTTP短连 HTTP短连 Jetty HTTP短连 Jetty Jetty HSF/Dubbo长连接 Internal Service Cluster IC TC LC UC …

11. Alibaba Group API请求全异步化 API Gateway API Gateway Jetty IO Thread Jetty Servlet Thread Pool APP 3 1 2 1 APP 5 2 4 core*2 500 API Gateway Jetty IO Thread Jetty Servlet Thread Pool 500 sync async API Worker Thread Pool RPC/HTTP IO Thread 3 APP 2 1 4 6 5 core*2 API Worker Thread Pool Jetty Servlet Thread Pool 500 core*2 200 释放网络等待引起的线程占用，线程数不再成为网关的瓶颈彻底隔离API请求之间的影响，慢API不会引起网关的不稳定 200

12. Alibaba Group API元数据无阻塞调用 ISV APP Nginx API Gateway API信息 APP信息权限包信息布隆过滤器（QPS上千万） ACL 本地缓存（QPS上千万） HDCC 用户授权信息本地调用本地调用 BloomFilter LRUMap RPC LOG 分布式缓存（QPS几十万） ISP RPC调用（QPS几万）远程调用远程调用 RDS 消灭99.9%的IO等待，CPU只用于计算资源网关耗时降低到1~2毫秒，较少的DB资源支持高并发 Cache DB

13. API插件化体系 — Alibaba Group 运行时升级网关分流插件自定义分流规则 API请求协议识别签名插件入参重写插件远程调用入参检验校验APP 校验权限黑白名单校验授权自定义入参检查规则调用地址重写插件结果转换 API分流流控插件自定义流控规则流量控制入参转换校验API 出参重写日志打点 API响应

14. API访问控制体系 — Alibaba Group LBAC Role Based Access Control（RBAC）举例：getUser接口只允许官方应用从内网发起调用聚石塔 API请求淘宝助理 getUser 主体规则指派 APP/API 规则标签规则校验规则校验官方+内网官方+内网访问允许控制控制指派操作目标会话 API请求标签计算官方、内网访问拒绝 Label Based Access Control（LBAC） API请求 getUser 标签计算官方进化阿里内网淘宝助理好处：透明化、可复用、热生效

15. Alibaba Group API流量控制流控类型基本流控流控场景 API流控（支持QPS、QPD）流控手段集中流控（QPS超过百万要分片）高于运营流控 APP流量包（支持QPM） APP + API/Group的流量包（支持QPM） APP + API + User的流控（支持QPS）集中流控高于大促流控 APP访问API的权重流控（支持QPS）单机流控降级

16. Alibaba Group API弱网环境调用优化调用优化网络优化 HTTP1.1长连 ATS A-synchronize Task Service 异步任务服务 TQL Taobao Query Language 淘宝查询语言 SPDY3.X HTTP2C/S HTTP DNS API Proxy 批量API 异步请求并行任意组合响应

17. Alibaba Group 第三部分

18. 如何打造高效的API接入管理平台持续的演进低学习成本零二次开发零测试成本强一致性保证完善的监控与统计 Alibaba Group

19. Alibaba Group API接入自动化演进纯手工(2009年) 半自助(2011年) 全自助(2015年) 学习无从下手，只能找人看文档和教程流程化接入，无学习成本编码依赖业务方Jar包，手写依赖网关Jar包，手写零依赖，零编码，支持 XML与JSON映射 Mapping，配置Spring HSF、Dubbo、HTTP 联调远程Debug，手写HTTP 部署应用，部署API，智能部署，自动化测试代码调用API API测试工具审核无靠自觉，旺旺电话催 BPM流程、移动审批发布与应用一起发布开放平台小二发布API 自主发布，灰度发布，一键回滚文档手工写Wiki文档自动生成（对外文档）自动生成（对内文档，对外文档，PDF文档） SDK 手工写JAVA SDK 自动生成（.NET&JAVA）自动生成，Maven自动上传，主流语言支持一个月一周一天

20. API接入低学习成本 — Alibaba Group 流程化与自助化服务注册参数映射多环境测试测试用例规范审核数据对外自动化批露审核访问控制一键生成预发回归沙箱环境安全审核策略审核 (TAML) 自动化自动构建 API录入 API测试 API审核 Beta发布 API升级 API上线 API启用线上回滚 API 监控与统计 API下线 API统计回收权限 API 使用与管控 APP统计 SDK生成 API流控多维度统计下线监控开放大盘文档生成 API权限回收流控用户统计回收配置正式发布监控告警

21. API接入的零二次开发 — Alibaba Group 映射中央化后端服务 TOP SDK Request Response TOP网关 HTTP URL Parameters 访问控制 Top Mapping MethodCall Parameters 反射调用 HSF服务 MethodResponse Json/Xml Json/Xml Object Result  依赖网关的jar包  编写Mapping文件  配置Spring服务中央化 TOP网关后端服务 TOP SDK HTTP URL Request Response 访问控制参数转换 Json/Xml Map Map Top Mapping Request Response Struct Map 泛化调用 HSF/DUBBO/HTTP服务 Result Map 零依赖零配置， Mapping文件自动生成

22. API变更零测试成本 — Alibaba Group 回归测试自动化线上请求 ISP提交API测试线上环境 API请求流程预发环境 API正式网关 Mock返回值回归测试工具 API 入参关键点：请求拦截器 API 网关消息监听器配置规则入参映射线上参数线上结果命中规则请求复制公网消息队列 RPC 入参消息处理器 ISP线上服务 • • • • • 线上请求复制到预发自动生成测试用例 API请求重放（读API） API结果Mock（写API） API测试结果比较优势： RPC 服务读执行器写执行器线上参数反推RPC出参重试请求 API预发网关 ISP预发服务 N RPC 出参出参映射 ISP预发Mock Y 结果比较器测试报告 API 出参 • • • • 测试用例全面快速发现问题零测试成本变更稳定性保障

23. API元数据强一致性保证 — Alibaba Group 自动化生成文档、SDK、工具 RPC服务对内文档，对外文档，离线文档 API 元数据 Java/C#/PHP/Python/C/C++/NodeJS API文档自动生成 API描述 API入参 API出参 API请求示例 SDK自动生成多语言SDK模板 Core + Req + Rsp + Domain 多语言SDK编译 JDK, Mono, Zip 多语言SDK打包 API响应示例 API错误码解释多语言SDK下载 API测试工具自动生成

24. API接入自动化演示 — 三分钟接入一个API Alibaba Group

25. Alibaba Group 第四部分

26. 开放平台工厂 — 多租户与配置化门户（前端） Alibaba Group Header oAuth登录开发者（ISV）开发者门户开发者控制台文档中心模块开发者管理首页 + 产品页普通文档组件文档首页接口文档组件支持中心组件开发者社区导航（首页、产品、文档、支持、社区）淘宝账号三方账号多租户配置化门户申请入驻身份管理信息维护 API收费 Footer 应用管理应用创建应用设置权限申请 SDK下载自建账号 SSO登录支持中心模块

27. 开放平台工厂 — Alibaba Group 定制化开放与垂直化管理（后端）服务提供方（ISP） API开放 API协议消息协议运营管理业务开放策略 SPI协议 API接入访问控制开发者管理应用管理 API文档多语言SDK 文档管理 API管理测试工具网关域名工单管理通知中心通用工具与服务数据统计&用户画像定制化开放与垂直化管理垂直权限划分

28. Alibaba Group 第五部分

29. Alibaba Group 开放与安全开放安全易用、灵活难用、限制

30. Alibaba Group 安全控制手段网关安全数据安全应用安全用户身份认证（OAuth2）对外数据披露审批流程 ISV入驻规范、安全技术要求 API协议安全（SSL、防篡改、防重放）数据分级（API级，字段级） APP创建申请、API权限包申请 API权限控制（APP级，用户级）数据脱敏（模糊化）应用安全配置（IP绑定、用户绑定）多维度流控（APP+API+User）数据混淆（Open Security ID）应用安全扫描（黑盒扫描、白盒扫描）黑白名单控制（应用级、用户级）数据加密（API响应，RDS数据）安全托管环境（聚石塔、千牛、TAE）日志打点与分析（API级、字段级）安全保镖（行为监控，异常报警）人机识别防刷（无线安全保镖）

31. 《尽在双十一》 Alibaba Group

32. Alibaba Group 联系作者：winwindg 诚邀志同道合的朋友加入淘宝开放平台：fengsheng@alibaba-inc.com