密钥验证
本教程由 API7.ai 编写。
API 网关主要作用是连接 API 消费者和提供者。出于安全考虑,在访问内部资源之前,应先对消费者进行身份验证和授权。
APISIX 拥有灵活的插件扩展系统,目前有很多可用于用户身份验证和授权的插件。例如:
- Key Authentication
- Basic Authentication
- JSON Web Token (JWT) Authentication
- Keycloak
- Casdoor
- Wolf RBAC
- OpenID Connect
- Central Authentication Service (CAS)
- HMAC
- Casbin
- LDAP
- Open Policy Agent (OPA)
- Forward Authentication
- Multiple Authentications
本教程中,你将创建一个带有 密钥验证 插件的 消费者,并学习如何启用和停用身份验证插件。
Consumer 是什么#
Consumer(也称之为消费者)是指使用 API 的应用或开发人员。
在 APISIX 中,消费者需要一个全局唯一的 名称,并从上面的列表中选择一个身份验证 插件。
Key Authentication 是什么#
Key Authentication(也称之为密钥验证)是一个相对比较简单但是应用广泛的身份验证方法,它的设计思路如下:
- 管理员为路由添加一个身份验证密钥(API 密钥)。
- API 消费者在发送请求时,在查询字符串或者请求头中添加密钥。
启用 Key Authentication#
前置条件#
创建消费者#
创建一个名为 tom 的消费者,并启用 key-auth 插件,密钥设置为 secret-key。所有携带密钥 secret-key 的请求都会被识别为消费者 tom。
caution
生产环境请使用复杂的密钥。
curl -i "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT -d '
{
"username": "tom",
"plugins": {
"key-auth": {
"key": "secret-key"
}
}
}'
如果消费者创建成功,你将得到返回 HTTP/1.1 201 Created。
启用 Authentication#
在教程配置路由中,我们已经创建了路由 getting-started-ip,我们通过 PATCH 方法为该路由增加 key-auth 插件:
curl -i "http://127.0.0.1:9180/apisix/admin/routes/getting-started-ip" -X PATCH -d '
{
"plugins": {
"key-auth": {}
}
}'
如果增加插件成功,你将得到返回 HTTP/1.1 201 Created。
验证#
我们可以在以下场景中进行验证:
1. 发送不带任何密钥的请求#
发送一个不带请求头 apikey 的请求。
curl -i "http://127.0.0.1:9080/ip"
如果你已经启用了密钥身份验证,你将会得到返回 HTTP/1.1 401 Unauthorized,即未授权。
HTTP/1.1 401 Unauthorized
Date: Wed, 08 Feb 2023 09:38:36 GMT
Content-Type: text/plain; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/3.1.0
2. 发送携带错误密钥的请求#
发送一个携带错误密钥(比如 wrong-key)的请求。
curl -i "http://127.0.0.1:9080/ip" -H 'apikey: wrong-key'
如果密钥错误,你也将得到返回 HTTP/1.1 401 Unauthorized,即未授权。
HTTP/1.1 401 Unauthorized
Date: Wed, 08 Feb 2023 09:38:27 GMT
Content-Type: text/plain; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/3.1.0
3. 发送携带正确密钥的请求#
发送一个携带正确密钥(secret-key)的请求。
curl -i "http://127.0.0.1:9080/ip" -H 'apikey: secret-key'
你将会得到返回 HTTP/1.1 200 OK。
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 44
Connection: keep-alive
Date: Thu, 09 Feb 2023 03:27:57 GMT
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Server: APISIX/3.1.0
禁用 Authentication#
将参数设置 _meta.disable 为 true,即可禁用密钥验证插件。
curl "http://127.0.0.1:9180/apisix/admin/routes/getting-started-ip" -X PATCH -d '
{
"plugins": {
"key-auth": {
"_meta": {
"disable": true
}
}
}
}'
你可以发送一个不带任何密钥的请求来验证:
curl -i "http://127.0.0.1:9080/ip"
因为你已经禁用了密钥验证插件,所以你将会得到返回 HTTP/1.1 200 OK。
下一步#
你已经学习了如何为路由配置密钥验证。在下个教程中,你将学习如何配置限速。