【kong系列七】之ACL策略插件

最新推荐文章于 2024-08-19 00:42:38 发布
最新推荐文章于 2024-08-19 00:42:38 发布
阅读量6k 收藏
点赞数
分类专栏: kong初探 文章标签: kong网关 api gateway kong开放api ACL策略分组插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li396864285/article/details/77372386
版权

ACL策略插件


策略分组规则:

1).为用户分配授权策略组

2).api添加授权策略分组插件。

3).只有拥有api授权策略分组的用户才可以调用该api

4).授权策略分组,必须建立在认证机制上,该策略生效的前提,api至少要开启任意一个auth认证插件。


使用教程:

1.创建一个ACL插件

如图,创建的分组,设置白名单open,黑名单dev-test,同时将这个插件应用到testACL这个api上。


2.反向验证

由于ACL必须和认证插件配合生效,我们选用基本认证basic-auth + ACL组合进行验证。

上一节基本认证 已经创建了basic-auth用户和秘钥:username=csOfBasicpassword=testkongpwd

我们使用上一节basic-auth创建的consumer进行访问:

basic-auth用户和秘钥:username=csOfBasicpassword=testkongpwd


返回消息:{"message":"You cannot consume this service"}

用户是合法用户(已经通过了basic-auth认证),但没有权限访问 testBasicAuthhttp://10.110.2.3:8000/test)这个api

kong的认证和权限是独立的。

3.给用户分配open分组

上一节的用户,因为不属于ACL=open的策略分组,所以不能访问。

现在,我们为该basic-auth用户创建ACL分组,如下图:

也可直接使用curl方式为用户增加ACL策略

curl -X POST http://*.*.*.*:8001/consumers/consumerOfBasic/acls  --data "group=open"  //注意此处的  consumerOfBasic basic-auth用户:username=csOfBasic的区别。


4.正向验证合法用户

再次执行,验证通过。返回结果如下:



长乐smile
关注
专栏目录
Kong插件ACL
风一样的少年
09-12 1909
简述 这个插件使用控制谁可以访问,谁不能访问的。如果使用这个插件,就必须使用认证的插件了比如base-auth, key-auth等。拿base-auth举例: 我们在浏览器输入的用户和密码,在Kong内部会转化到group层。如果对应的group在白名单中,那么访问通过,如果在黑名单中则访问被禁止。 操作起来 环境准备 你应该有一个可以正常使用的service和route,如果没有的话可以参照...
计算机网络(ACL策略
qq_44685426的博客
11-15 6397
ACL--访问控制列表 配置了ACL的网络设备,根据事先设定好的报文匹配规则,对经过该设备的流量按照规则进行匹配,对匹配上的流量执行设定好的动作 ACL的功能: 1.访问控制:在路由器流量流入或者流出的接口上,匹配流量,然后执行设定好的动作。-- permit(允许),deny(拒绝) 2.抓举感兴趣流:ACL和其他的服务结合使用,ACL负责匹配对应的流量,而其他的服务对匹配到的流量执行相应的动作(流量控制--ACL和Qos--服务质量技术) ACL控制列表的匹配规则: 自上而...
kong框架的插件(一)
最新发布
Wolfswood的博客
08-19 773
基本插件模块:pluginshandler模块:插件的核心模块。它提供了一组接口,需要用户自定义实现,其中每个方法都会在请求和连接生命周期中的指定时间点运行。schema模块:该模块定义了配置型的规则和格式,会对用户输入的数据进行校验。高级插件模块:插件模块是否必填描述api否其对应文件定义了插件在Admin API中暴露的端点。用户可以使用这些接口与插件中的实体数据进行交互。daos否其对应文件定义了插件需要用到的表结构。handler是。
定义ACL控制策略
Z_xiao_feng的博客
05-20 414
定义ACL控制策略 1)创建账户:mike、john、kaka 2)创建文件:/data/file1.txt 3)mike对文件有读写权限,john只有读权限。其他用户没有任何权限 4)kaka具有与john相同权限 5)创建lily用户,lily对file1.txt具有读执行权限,其他用户没有任何权限 并不是所有的分区都支持ACL策略设置,后续会学习怎样让一个分区支持ACL。在安装系统时划分的分...
ACL策略
五彩斑斓的黑@的博客
06-07 2736
高级acl命令:rule deny icmp soure 192.168.10.1 0 destination 192.168.0.20 0(这里的意思为拒绝192.168.10.1的所有网段访问目的ip 192.168.0.20 其中icmp即通过网际控制协议来达到控制访问的目的)3000~3999 高级acl 可以匹配源ip、目标ip以及源端口和目的端口号、以及三层和四层的相关协议(例:icmp udp tcp)根据通配符规则:0表示匹配(即不变的) 1表示随机分配(即有变化的)
Tailscale ACL 访问控制策略完全指南!
云原生实验室
11-28 1913
❝原文链接????:https://icloudnative.io/posts/tailscale-acls/或者点击左下角的 阅读原文 直接查看原文????大家好,我是米开朗基杨。前面几篇文章给大家给介绍了 Tailscale 和 Headscale,包括 ????Headscale 的安装部署和各个平台客户端的接入,以及如何打通各个节点所在的局域网。同时还介绍了????如何自建私有的 DERP 服务器,并让 Tail...
1. ACL策略ACL权限)及案例分析
weixin_45655356的博客
11-14 3008
ACL策略ACL权限) 文档归属的局限性 任何人只属于三种角色:属主、属组、其他人 无法实现更精细的控制 acl访问策略 能够对个别用户、个别组设置独立的权限 大多数挂载的EXT3/4、XFS文件系统默认已支持 setfacl命令 – 格式:setfacl [选项] u:用户名:权限 文件… setfacl [选项] g:组名:权限 文件… 常用命令选项 – -m:定义一条ACL策略 – -x:清除指定的ACL策略 – -b:清除所有已设置的ACL策略 – -R:递归设置ACL策略 [ro
深入理解Kong插件机制与执行流程
它基于Nginx和OpenResty构建,具有高性能和可扩展性,并提供了丰富的插件来增强API网关的功能,包括安全认证、流量控制、日志记录、监控等一系列功能。 Kong以易用和可扩展著称,通过插件的方式,用户可以根据自身
kong的介绍与使用
pengfeijiuwanli的博客
02-02 5795
版本说明 本次学习安装kong在2.1.4版本,konga版本0.14.9 此文档地址获取地址: https://gitee.com/PengFei-io/introduction-and-use-of-kong.git 一、简介 ​ Kong是由Mashape公司开源的可扩展的Api GateWay项目。它运行在调用Api之前,以插件的扩展方式为Api提供了管理。比如,鉴权、限流、监控、健康检查等,Kong是基于lua语言、nginx以及openResty开发的,所有拥有动态路由、负载均衡、高可用、
KONG 1.3适配mysql5.6
学习blog
05-03 2946
KONG 1.3适配mysql5.6 What? API网关KONG是一个开源项目,详见 KONG官方文档 Why? api网关KONG数据库目前只支持postgres和Cassandra,还有无数据库dbless。对于mysql没有支持,由于公司大佬要求需要统一数据库mysql,所以只能基于kong1.3支持mysql。 How? mysql适配仅限于kong1.3版本。 主要代码部分在kong...
掌握Kong API网关的基础知识
Kong基于Nginx,并使用Lua语言进行插件扩展,可以帮助开发人员轻松构建基于微服务架构的应用程序。在本章中,我们将介绍Kong API网关的基本概念和功能,以便于读者对Kong有一个全面的了解。 ## 第二章:安装和配置...
微服务架构中的API网关——一个微服务架构设计模式
程序员光剑
07-30 1155
随着互联网的蓬勃发展,应用服务的数量也在日益增加。每年新增的应用服务如今已经超过了百万级。由于这些应用服务的规模化带来的复杂性,部署运维等繁琐程度越来越高。对于大型系统而言,如何有效地管理、监控、维护这些复杂的分布式应用服务成为系统管理员的一项重要工作。基于此,一些分布式应用服务框架和中间件被提出。其中包括负载均衡、服务发现、熔断降级、认证鉴权、协议转换、请求调度、流量控制等技术,但这些技术并不能解决所有场景下的应用服务管理难题,并且往往会引入不必要的复杂性。
ACL访问策略
weixin_34319817的博客
09-15 397
R01是inside,lo0 为PC Client:11.11.11.1/24 R03是outside,lo0为internet server:22.22.22.1/24 R07是DMZ,lo0为DMZ区的server:33.33.33.1/24 R02模拟防火墙: e0/0口为inside:1.1.1.1/30 e0/1为outside:2.2.2.1...
Kong网关-ACL权限
WeiJiaXiaoBao的专栏
01-13 886
目录 ROUTES添加ACL插件 Consumers的Groups ROUTES添加ACL插件 ROUTES--》Plugins--》ADDPlugin allow里面填写consumers的group,这样路由这一层只授权在这个group的consumer访问权限 Consumers的Groups
2-3ACL策略
weixin_42508243的博客
09-18 384
2.3.1ACL策略概述 一、文档归属的局限性 –任何人只属于三种角色:属主,属组,其他人 –无法实现更加精细的控制 二、ACL访问策略 –能对个别用户、个别组设置独立的权限 –大多数挂载的EXT3/EXT4,XFS文件系统默认已经支持 2.3.2设置ACL策略 一、定义ACL控制策略 1.setfacl命令 1)格式: setfacl [选项] u:用户名:权限 文件 setfacl [选项] g:组名:权限: 文件 说明: u:代表用户 g:代表组名称 [root@localhost03 ~]# mkd
ACL 策略管理
weixin_68576503的博客
08-19 649
acl 访问策略作用:能够对个别用户、个别组设置独立的权限 setfacl 命令格式: ①setfacl [选项] u:用户名:权限 文件... ②setfacl [选项] g:组名:权限 文件... 常用命令选项: -m:修改 ACL 策略 -x:清除指定的 ACL 策略 -b:清除所有已设置的 ACL 策略 -R:递归设置 ACL 策略 一般文件默认均不给 x 执行权限,其他取决于 umask(权限掩码) 设置新建目录默认权 限为 755 新建文件默认权限为 644,管理员的默认的 u
ACL权限安全策略
热门推荐
求人不如求己,思考才能进步!
11-21 1万+
Linux中是有自己的权限系统的,比如常用的755,655这样的权限。如果需要满足更高级的权限,比如我们需要让/root/test.file这个文件可以被一个普通账号test有所有权限的话,可以单独设置具体的权限,这里需要应用到ACL的权限策略。在Linux的2.6内核版本中已经自带了ACL的安全策略如果想要启用的话非常简单。     vi /etc/fstab 可以看到基本的磁盘分区表,如:
安全acl 策略acl_使用ACL的ABC
cuyi7076的博客
06-24 1338
[编者注:多年来,对访问控制列表(ACL)的记录已久。 但是,由于ACL影响了如此众多的Notes活动,因此本文解释了ACL为何“演变为”现在的形式。 通过了解其不同组件之间的交互方式,您可以利用ACL来满足安全性和应用程序开发要求。] Notes访问控制列表(ACL)是Domino内核体系结构的高度集成的组件。 从一开始就出现在Notes中,其设计经受了时间和使用的考验。 (有关Note...
基于kong + oauth2 + acl的用户访问权限管理
pushiqiang的博客
07-13 9811
需求说明 对admin进行分组管理,不同的用户有访问不同api(服务)的权限,类似django admin的用户组功能 由于认证系统是完全可信的内部系统,简单起见使用密码授权方式 在网关层做接入权限管控,而非后端应用的业务权限 启动kong # 启动kong使用的数据库postgres/cassandra docker run -d --name kong-database \ -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长乐smile

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值