『Apisix安全篇』探索Apache APISIX身份认证插件:从基础到实战_apache apisix 接口认证

最新推荐文章于 2024-06-06 22:39:27 发布
最新推荐文章于 2024-06-06 22:39:27 发布
阅读量1.1k 收藏 22
点赞数 10
分类专栏: 程序员 文章标签: 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973119/article/details/138785818
版权


📣读完这篇文章里你能收获到

  • 🛠️ 了解APISIX身份认证的重要性和基本概念,以及如何在微服务架构中实施API安全。
  • 🔑 学习如何使用APISIX的Key Authentication插件进行API密钥管理,包括创建消费者和路由。
  • 🔄 掌握如何定期轮换API密钥,以及如何为不同消费者分配不同权限范围的密钥。
  • 📊 探索如何通过日志记录和监控来增强APISIX的安全性和可审计性。

🚀 『Apisix系列汇总』探索新一代微服务体系下的API管理新范式与最佳实践 【点击此跳转】

文章目录

一、引言

在现代微服务架构中,API的安全性至关重要。随着业务系统之间的交互越来越频繁,API成为了核心数据和服务的交换通道。Apache APISIX作为一款高性能的云原生API网关,提供了丰富的插件生态以满足各种API治理需求,其中身份认证就是关键的一环。

1.1 APISIX身份认证基础

API 网关主要作用是连接 API 消费者和提供者。出于安全考虑,在访问内部资源之前,应先对消费者进行身份验证和授权。
image.png

1.2 APISIX支持的身份授权插件

APISIX 拥有灵活的插件扩展系统,目前有很多可用于用户身份验证和授权的插件。

二、APISIX身份认证核心组件

本文将以Apache APISIX内置的Key-Auth插件为例,详细介绍如何实现API的身份认证。

2.1 Consumer

Consumer(也称之为消费者)是指使用 API 的应用或开发人员。
在 APISIX 中,消费者需要一个全局唯一的 名称,并从上面的列表中选择一个身份验证 插件

2.2 Key Authentication

Key Authentication(也称之为密钥验证)是一个相对比较简单但是应用广泛的身份验证方法,基于HTTP Header中的API密钥对请求进行验证。每个客户端都拥有一个唯一的API密钥,当客户端发起请求时,必须在请求头中包含此密钥,服务器端的APISIX将会检查并验证该密钥的有效性。
它的设计思路如下:

  1. 管理员为路由添加一个身份验证密钥(API 密钥)。
  2. API 消费者在发送请求时,在查询字符串或者请求头中添加密钥。

三、身份认证实战

3.1 启用 Key Authentication

3.1.1 创建消费者

创建一个名为 consumer-key 的消费者,并启用 key-auth 插件,密钥设置为 secret-key。所有携带密钥 secret-key 的请求都会被识别为消费者 consumer-key。

curl -i "http://127.0.0.1:9180/apisix/admin/consumers" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
 "username": "consumerkey",
 "plugins": {
 "key-auth": {
 "key": "secret-key"
 }
 }
}'
3.1.2 创建Routes

创建一个名为routes-key的路由,并启用 key-auth 插件

curl -i "http://127.0.0.1:9180/apisix/admin/routes" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
 "id": "routes-key",
 "name": "routes-key",
 "uri": "/ip",
 "upstream": {
 "type": "roundrobin",
 "nodes": {
 "httpbin.org:80": 1
 }
 },
 "plugins": {
 "key-auth": {}
 }
}'
3.1.3 验证

Key-Auth插件默认的Headers前缀为apikey,如需修改,可继续往下看
我们可以在以下场景中进行验证:

  1. 发送不带任何密钥的请求
curl -i "http://127.0.0.1:9080/ip"

image.png

  1. 发送携带正确密钥的请求
curl -i "http://127.0.0.1:9080/ip" -H 'apikey: secret-key'

image.png

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84973119
关注
  • 10
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最新!Apache APISIX 通过中国信通院 “可信开源项目” 认证
ApacheAPISIX的博客
09-28 345
2021 年 9 月 17 日,在中国信息通信研究院(简称“中国信通院”)主持召开的“云计算开源产业联盟(OSCAR)开源产业大会”上,Apache APISIX 荣获中国信通院颁发的可信开源项目评估证书。同时大会正式宣布了可信开源社区共同体(TWOS) 的成立,Apache APISIX 社区成为首批正式成员。可信开源项目OSCAR 开源评估,是中国信通院针对开源现状启动的评估工作,“可信开源项目”这一奖项的获得意味着 Apache APISIX 在许可证合规性、软件安全性、软件活跃度、技术成熟
apisix-dashboard:适用于Apache APISIX的仪表板
01-30
Apache APISIX仪表板(实验性) •• 主版本应与Apache APISIX主版本一起使用。 最新发布的版本是 ,应与一起使用。 不建议与其他Apache APISIX版本一起使用。 什么是Apache APISIX仪表板 Apache APISIX仪表板旨在使用户能够通过前端界面尽可能轻松地操作 。 仪表板是控制平面,它执行所有参数检查。 Apache APISIX混合了数据平面和控制平面,并将演变为纯数据平面。 该项目包括Manager API ,它将逐步取代Apache APISIX中的Admin API 。 注意:当前仪表板尚未完全涵盖Apache APISIX功能,查看里程碑。 演示版 URL: http://139.217.190.60/ Username: admin Password: admin 项目结构 . ├── CHANGELOG.md ├── CODE_OF_CONDUCT.md ├── CONTRIBUTING.md ├── Dockerfile ├── LICENSE ├── Makefile ├── NOTICE ├── READM
Apisix安全』快速掌握APISIX Basic-Auth插件高效使用
老陈聊架构
05-16 1168
🌐 本文是APISIX Basic-Auth插件的全面使用指南,助您打造坚不可摧的API安全防线。
APISIX Java自定义插件完成接口的权限认证
xq5236870的专栏
02-27 1037
APISIX的DashBoard的路由配置中,增加如下配置即可启动"_meta": {},"conf": [具体的使用方法可参照官方文档官方插件介绍。
APISIX整合KeyCloak认证
I_T_T_I的博客
08-13 1060
APISIX整合KeyCloak认证
Apisix 身份绕过验证 (cve_2021_45232)
小小猪的博客
12-31 1759
Apisix 身份绕过验证 (cve_2021_45232) 漏洞简介: ApacheApisix是一个动态、实时、高性能的API网关 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在gin框架的基础上引入了droplet框架,所有的API和鉴权中间件都是基于droplet框架开发的,但是有些API直接使用了框架`gin` 的接口从而绕过身份验证 影响范围: Apache APISIX Dashboard < 2.10.1 环境.
apisix-website:Apache APISIX网站
04-12
Apache APISIX是一个高度可扩展、高性能的云原生API网关,用于管理和保护微服务。它的官方网站提供了关于该项目的详细信息,包括文档、社区资源和最新动态。这个压缩包"apisix-website-master"包含了构建和运行...
apache-apisix-2.11.0-src (1).tgz
01-13
Apache APISIX 是一个高性能、动态、实时的API网关,它基于开源的Erlang/OTP平台构建,提供了一种高效且灵活的方式来管理和路由API请求。2.11.0版本是Apache APISIX的一个稳定发行版,包含了对先前版本的改进、新...
apisix之插件开发,包含java和lua两种方式
10-26
标题中的“apisix之插件开发”涉及到的是API网关Apache APISIX的插件开发技术,这是一项关键的IT技能,特别是在微服务架构中。Apache APISIX是一款高性能、动态、实时、基于OpenResty的API网关,提供路由转发、限流...
Apache Dubbo:Dubbo高级特性:服务降级与熔断实战
最新发布
07-12
Apache Dubbo:Dubbo高级特性:服务降级与熔断实战 Dubbo是著名的RCP框架,文档内有干货,提供代码和可复现的命令,值得借鉴。
使用 OpenID Connect 和 Apache APISIX 进行身份验证
jascl的博客
03-10 501
许多公司都渴望提供他们的身份提供商:Twitter、Facebook、谷歌等。对于小型企业来说,不必管理身份是一个好处。但是,我们希望避免被锁定在一个提供商中。在这文章中,我想演示如何使用下面的 Google 使用 OpenID Connect,然后切换到 Azure。
零信任:基于Apisix构建认证网关
IC Kelin的专栏
07-02 1140
基于Apisix构建零信任认证网关
APISIX集成统一鉴权中心
雨中深巷的油纸伞
12-12 571
这里使用forward-auth作为身份认证插件,具体的配置方法可以查看官网 https://apisix.apache.org/docs/apisix/plugins/forward-auth/Apisix提供了很多插件,通过鉴权插件,并配合自定义服务接口,可以很好实现网关层面的统一鉴权,认证还是可以走统一认证中心。也可以和其他子服务共用一个,但是必须是一个单独的apisix路由接口。将刚刚创建好的鉴权服务路由接口,配置在插件中,并启动该插件。与普通创建路由一致,可以参考其他创建路由具体步骤。
【网关建设】03-APISIX实战插件使用
Kearey的知识仓库
04-21 3425
我们在设计公共服务网关的功能时,共验证并对业务系统开放了如下插件:1、 prometheus 插件2、 log-rotate 插件3、 ip-restriction、real-ip、response-rewrite 插件4、 api-breaker 插件5、 limit-req、limit-conn插件6、 server-info 插件这些插件中,有些是直接开箱即用,没有做单独的讨论和设计,基本都符合业务的基本需求。这些插件我会分别在 【开箱即用】 和 【稍加改造】的章节中集中说明。
使用 Apache APISIX 和 Okta 来实现身份认证
ApacheAPISIX的博客
09-16 1200
通常应用会通过身份认证识别用户身份,并根据用户身份 ID 从身份提供方(Identity Provider)获取详细的用户元数据,并以此判断用户是否拥有访问指定资源的权限。身份认证模式分为两大类:传统认证模式和集中认证模式。在传统认证模式下,各个应用服务需要单独支持身份认证,例如当用户未登录时访问登录接口接口返回 301 跳转页面。应用需要开发维护 Session 以及和身份提供商的认证交互等逻辑。传统认证模式的流程如下图所示:首先由用户发起请求(request),然后由网关接收请求并将其转发至对应的应用
插件开发版|Authing 结合 APISIX 实现统一可配置 API 权限网关
Authing的博客
02-17 1969
如果您需要对 API 进行细颗粒度的管理可以通过本方案来实现,我们可以在 Adapter 实现更加细粒度的 API 访问控制以及更加场景化的权限方案。
Apisix安全探索Apache APISIX身份认证插件:从基础实战
老陈聊架构
03-27 1453
🌐 本文深入探讨了Apache APISIX在现代微服务架构中实现API安全的关键环节——身份认证。文章首先强调了API网关在连接API消费者和提供者中的作用,并介绍了APISIX支持的多种身份授权插件,如Key Authentication、Basic Authentication、JWT Authentication等。
开源网关Apache APISIX启用JWT身份验证
mengningyun6826的博客
06-06 1464
开源网关Apache APISIX启用JWT身份验证
两台 CentOS 7 服务器上部署 Apache APISIX 集群
06-10
部署 Apache APISIX 集群可以分为以下步骤: 1. 安装 Docker 和 Docker Compose 在两台 CentOS 7 服务器上安装 Docker 和 Docker Compose。 2. 创建 Docker 镜像 在每台服务器上创建一个 Apache APISIX 的 Docker 镜像,可以使用官方提供的 Dockerfile 或者自定义 Dockerfile。 3. 编写 Docker Compose 配置文件 在一个文件夹下创建 docker-compose.yml 文件,配置两个节点的 Apache APISIX 服务,示例文件如下: ``` version: "3" services: apisix-node1: image: apache/apisix:2.9-alpine container_name: apisix-node1 ports: - "9080:9080" - "9443:9443" volumes: - /etc/localtime:/etc/localtime:ro restart: always command: ["sh", "-c", "exec /usr/local/apisix/bin/apisix start && tail -f /dev/null"] apisix-node2: image: apache/apisix:2.9-alpine container_name: apisix-node2 ports: - "9081:9080" - "9444:9443" volumes: - /etc/localtime:/etc/localtime:ro restart: always command: ["sh", "-c", "exec /usr/local/apisix/bin/apisix start && tail -f /dev/null"] ``` 4. 启动 Docker 容器 使用 Docker Compose 启动 Apache APISIX 容器: ``` docker-compose up -d ``` 5. 配置负载均衡 使用负载均衡器对两个节点的 Apache APISIX 服务进行负载均衡配置。 6. 测试 Apache APISIX 集群 使用 Apache Benchmark 工具或其他压测工具对 Apache APISIX 集群进行性能测试。 以上是部署 Apache APISIX 集群的基本步骤,需要注意的是,集群部署需要考虑数据同步和负载均衡等问题,需要进行详细规划和测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值