[Kong] key-auth实现对API请求的密钥认证


[前言]

下面我们将配置key-auth插件以向服务添加身份验证。
key-auth为Service设置key,只有带有正确的key才能访问Kong API

  • 添加此插件之前, 对服务的所有请求都将在上游代理。
  • 添加和配置此插件后,只有具有正确密钥的请求才会被代理,其他未经认证的请求将被Kong拒绝,从而保护您的上游服务免遭未经授权的使用。

1. 配置密钥验证插件

要为您在Kong中配置的service配置key-auth插件,请发出以下CURL请求:

$ curl -i -X POST \
  --url http://localhost:8001/services/example-service/plugins/ \
  --data 'name=key-auth'

注意:此插件还接受一个config.key_names参数,默认为['apikey']。它是应该在请求期间包含apikey的标头和参数名称(均受支持)的列表。

2. 确认插件配置正确

发出以下cURL请求,以验证是否 在服务上正确配置了key-auth插件:

$ curl -i -X GET \
  --url http://localhost:8000/ \
  --header 'Host: example.com'

由于您未指定所需的apikey标头或参数,因此响应应为401 Unauthorized:

HTTP/1.1 401 Unauthorized
...

{
  "message": "No API key found in request"
}

由上我们已经成功配置了key-auth 插件,我们还需要将消费者cunsumer添加到服务中,以便继续通过Kong代理请求。

如果对Cunsumer的概念不清楚,请参考官网 consumer-object

3. 创建cunsumer

让我们创建一个Jason通过发出以下请求命名的用户:

$ curl -i -X POST \
  --url http://localhost:8001/consumers/ \
  --data "username=Jason" \
  --data "custom_id=Jason"

注意custom_id在创建使用者以将使用者与现有用户数据库相关联时,Kong还接受参数。

4. 给cunsumer提供关键凭证

现在,我们可以Jason通过发出以下请求为最近创建的使用者创建密钥:

$ curl -i -X POST \
  --url http://localhost:8001/consumers/Jason/key-auth/ \
  --data 'key=123456'

5. 验证

现在,我们可以发出以下请求来验证我们的Jason消费者凭证是否有效:

$ curl -i -X GET \
  --url http://localhost:8000 \
  --header "Host: example.com" \
  --header "apikey: 123456"

浏览器

  • 不发送consumer认证密钥,401 Unauthorized

  • 发送consumer认证密钥

6. 小结

  • 插件不仅能作用于 service,也可以作用于route
  • 插件默认作用于all comsumers,并根据需求确定是否设置访问凭证

 
[sleepy↓]

 

posted @ 2019-12-23 17:19  孙红雷哔哔  阅读(2525)  评论(1编辑  收藏  举报