Golang API网关如何做路由转发_请求转发机制说明

最稳妥的Go API网关基础转发方案是使用标准库httputil.NewSingleHostReverseProxy，需正确配置Director重写URL和Host、ModifyResponse补全X-Forwarded-*头、自定义Transport控制超时与连接池，并配合chi或gorilla/mux实现健壮路由。

Go API网关用 httputil.NewSingleHostReverseProxy 做基础转发最稳妥

直接用标准库的 httputil.NewSingleHostReverseProxy 是多数生产网关的起点。它不是“玩具”，而是经过长期验证的底层转发器，能正确处理 Host、Location、Set-Cookie 等头字段重写，也支持连接复用和超时控制。

关键点在于：必须手动修正 Request.URL 和 Host 头，否则后端看到的是原始请求路径和网关域名：

proxy := httputil.NewSingleHostReverseProxy(&url.URL{
    Scheme: "http",
    Host:   "backend-service:8080",
})
proxy.Director = func(req *http.Request) {
    req.URL.Scheme = "http"
    req.URL.Host = "backend-service:8080"
    req.Host = "backend-service:8080" // 显式设置，避免透传网关 Host
}

• 不改 req.Host → 后端日志和鉴权可能误判来源
• 不重设 req.URL → 路径未重写，比如 /api/v1/users 转发后仍是该路径，无法做前缀剥离
• Director 函数里不能 panic，否则整个请求失败且无日志提示

路由匹配要用 gorilla/mux 或 chi，别手写 strings.HasPrefix

简单前缀匹配（如 strings.HasPrefix(r.URL.Path, "/api/users")）在嵌套路径、URL 编码、边界情况（/api/user vs /api/users）下极易出错。真实网关需支持路径变量、正则、方法限定、host 匹配等。

chi 更轻量，gorilla/mux 功能更全。选一个并统一管理路由表：

r := chi.NewRouter()
r.Route("/api/v1", func(r chi.Router) {
    r.Get("/users/{id}", userHandler)
    r.Post("/orders", orderHandler)
})
// 每个路由可绑定独立中间件（鉴权、限流、日志）
r.With(authMiddleware).Post("/admin/logs", adminLogHandler)

• 避免把路由逻辑散落在 http.HandleFunc 里，后期无法统一加熔断或指标埋点
• 路径参数（如 {id}）要显式提取，chi.URLParam(r, "id") 比手动 strings.Split 安全
• 注意 OPTIONS 预检请求：如果后端不处理，网关需主动返回 200 + CORS 头

转发前必须重写 X-Forwarded-* 头，否则后端拿不到真实客户端信息

后端服务依赖 X-Forwarded-For 判断用户 IP，靠 X-Forwarded-Proto 知道是否 HTTPS。若网关不补全，所有请求看起来都来自内网地址（如 10.0.1.5），导致限流失效、地理定位错误、HTTPS 强制跳转异常。

标准做法是在 Director 后、RoundTrip 前注入：

proxy.ModifyResponse = func(resp *http.Response) error {
    resp.Header.Set("X-Forwarded-For", getClientIP(resp.Request))
    resp.Header.Set("X-Forwarded-Proto", resp.Request.URL.Scheme)
    resp.Header.Set("X-Forwarded-Host", resp.Request.Host)
    return nil
}
// getClientIP 需解析 X-Forwarded-For 最左非信任 IP，不能直接取 RemoteAddr

• 不要直接用 req.RemoteAddr —— 它是连接网关的 IP，可能是负载均衡器地址
• 若网关前有 Nginx/ALB，需配置 real_ip_header X-Real-IP 并维护可信段，否则伪造 X-Forwarded-For 可绕过限流
• X-Forwarded-Proto 必须与网关对外协议一致（HTTPS 入口但转发 HTTP 给后端时，这里仍填 https）

超时和连接

池必须显式配置，DefaultTransport 不适合网关场景

标准 http.DefaultTransport 的连接复用策略和超时值（如 30s 空闲连接存活）会拖垮网关：后端响应慢时连接堆积，健康检查失败，新请求排队。必须自定义 http.Transport 并设到 ReverseProxy.Transport。

proxy.Transport = &http.Transport{
    DialContext: (&net.Dialer{
        Timeout:   3 * time.Second,
        KeepAlive: 30 * time.Second,
    }).DialContext,
    TLSHandshakeTimeout: 3 * time.Second,
    IdleConnTimeout:       30 * time.Second,
    MaxIdleConns:          100,
    MaxIdleConnsPerHost:   100,
    ResponseHeaderTimeout: 10 * time.Second, // 关键：防后端卡住 Header
}

• ResponseHeaderTimeout 比 Timeout 更重要——它限制从发请求到收到第一个字节的时间，避免后端 hang 住整个连接
• MaxIdleConnsPerHost 设太小会导致频繁建连；太大又可能压垮后端。建议按后端实例数 × 20 起步调优
• 若后端是 gRPC，需换用 grpc-go 的 ClientConn，httputil 无法转发 HTTP/2 流

路径匹配、头重写、连接控制这三块没对齐，转发就会变成黑盒——看着通，出问题却难定位。尤其 X-Forwarded-For 解析和 ResponseHeaderTimeout 这两个点，线上故障里反复出现。