新版本插件解读|如何借助 Forward Auth 增强认证能力

最新推荐文章于 2024-04-14 09:43:47 发布
最新推荐文章于 2024-04-14 09:43:47 发布
阅读量1.4k 收藏
点赞数
文章标签: http java https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ApacheAPISIX/article/details/122941184
版权

Forward Auth 能巧妙地将认证与授权逻辑转移至专门的外部服务中,网关会将用户的请求转发至认证服务中,并在认证服务响应非 20x 状态时,阻止原有请求并替换结果。通过这样的方式,就可以实现认证未通过时,返回自定义报错或用户重定向至认证页面。

本文将介绍 Apache APISIX 2.12.0 版本中新增插件 forward-auth 的使用方法,为大家简单说明下如何使用这款设计简洁的认证模型。

原理

图片

关于 forward-auth 插件在 Apache APISIX 中的运行原理与流程如上图所示,具体总结为以下几步:

  • 第一步:由客户端向 APISIX 发起请求

  • 第二步:由 APISIX 向用户配置的认证服务发起请求

  • 第三步:认证服务响应(2xx 或异常状态)

  • 第四步:APISIX 会根据认证服务响应,决定向上游转发请求直接****向客户端发送拒绝响应

如何使用

步骤一:设置认证服务

假设有这样一项认证服务,用户向其发送带有 Authorization 请求头的请求。如果这个数据通过验证则返回 200 状态码和一个名为X-User-ID的响应头;如果没有通过验证则认为认证状态过期,

最低0.47元/天 解锁文章
API7.ai 技术团队
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Apisix网关中basic-auth插件使用
Seapeak_H的博客
11-10 1067
basic-auth是用于固定管理消费者请求时携带的用户名和密码,进行校验。用户和密码通过冒号进行关联,且用base64加密后放到Header中。插件在接收到请求以后,对header内Authorization的内容进行解析,解析出对应的用户名和密码。然后和ETCD中消费者中存储的用户名(username)和密码(password)进行对比。如果符合通过认证
traefik-forward-auth:最小前向身份验证服务,可为traefik反向代理提供基于GoogleOpenID oauth的登录和身份验证
02-03
Traefik转发身份验证 一种最小的前向身份验证服务,可为反向代理/负载平衡器提供OAuth / SSO登录和身份验证。 为什么? 无缝地将任何http服务与单个端点重叠(请参阅: url-path ) 支持多个提供商,包括Google和OpenID Connect(由Azure,Github,Salesforce等支持) 通过动态生成redirect_uri的来支持多个域/子域 允许根据请求参数有选择地应用/绕过身份验证(请参阅rules ) 支持使用集中式身份验证host / redirect_uri(请参阅auth-host ) 允许身份验证在多个域中持续存在(请参阅) 支持Google令牌生存期以外的扩展身份验证(请参阅:lifetime ) 内容 发布 我们建议在thomseddon/traefik-forward-auth:2 hub上使用2标签( thomseddon/traefik-forward-auth:2 )。 您还可以使用在和上找到的最新增量版本。 ARM版本也可在泊坞窗枢纽,只是追加-arm或-arm64到你想要释放(例如2-arm或2.1
Caddy Auth Portal:轻量级的身份验证与授权解决方案
最新发布
gitblog_00042的博客
04-14 402
Caddy Auth Portal:轻量级的身份验证与授权解决方案 项目地址:https://gitcode.com/greenpau/caddy-auth-portal Caddy Auth Portal 是一个开源项目,旨在为你的网站和API提供简单易用、可扩展的身份验证和授权服务。该项目基于流行的HTTP服务器Caddy,并利用Go语言编写,实现了快速响应和高效性能。 技术分析 集成于C...
Forward】OAuth介绍 - 协议解析http://plaintext.blog.edu.cn
weixin_30648587的博客
02-24 84
Auth介绍 - 协议解析OAuth 是一个开放的授权协议,它提供一个方法可以让你授权某个人(记为Client)来代表你(记为Resource Owner 或 Web User)去访问你保存在服务器(记为Server)上的资源。rfc5849是描述OAuth1.0的标准文档,可作为开发OAuth协议的参考。我之前的Blog (OAuth介绍 - 使用场景)描述了OAuth的一个经典用例。本文...
探索Traefik Forward Auth:强大的身份验证解决方案
gitblog_00055的博客
03-24 457
探索Traefik Forward Auth:强大的身份验证解决方案 项目地址:https://gitcode.com/thomseddon/traefik-forward-auth Traefik Forward Auth 是一个轻量级且灵活的身份验证中间件,专为现代Web服务设计,它可以帮助你在API、静态网站或其他HTTP服务前添加安全的身份验证层。此项目由Thom Seddon开发,并在G...
APISIX源码解析-插件-外部认证forward-auth
a_12321_123的博客
03-26 1700
forward-auth 外部认证 关键属性 源码实现 function _M.access(conf, ctx) -- 固定传递给authorization服务的请求头 local auth_headers = { ["X-Forwarded-Proto"] = core.request.get_scheme(ctx), ["X-Forwarded-Method"] = core.request.get_method(), ["X-Forw
基于 Traefik 的 ForwardAuth 配置
east4ming的博客
12-25 1136
前言 Traefik 是一个现代的 HTTP 反向代理和负载均衡器,使部署微服务变得容易。 Traefik 可以与现有的多种基础设施组件(Docker、Swarm 模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。 系列文章: 《Traefik 系列文章》 今天我们基于 Traefik on K8S 来详细说明如何通过 forwardauth 实现认证功能,并通过 ForwardAuth 和 OAuth 2.0
nsq auth 权限认证服务
05-10
nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务
mosquitto-go-auth:用于 mosquitto 的 Auth 插件
07-24
Mosquitto Go 认证Mosquitto Go Auth 是 Mosquitto MQTT 代理的身份验证和授权插件。 这个名字很糟糕,我知道,但现在改变它已经太晚了。 而且,您知道:命名、缓存失效、一对一错误等等。当前状态该插件是最新的...
Nginx配置Basic Auth登录认证的实现方法
09-30
本文将详细介绍如何使用Nginx配置Basic Auth登录认证,这是一种简单有效的权限验证机制。 Basic Auth(基本身份验证)是一种基于HTTP协议的身份验证方式,它将用户名和密码以Base64编码的形式发送到服务器。Nginx...
详解在Spring-Boot中实现通用Auth认证的几种方式
08-27
Spring Boot 中实现通用 Auth 认证的几种方式 在 Spring Boot 中实现通用 Auth 认证有多种方式,本文将介绍其中的几种常见的方式。 1. 使用 AOP 实现 Auth 认证 AOP(Aspect-Oriented Programming)是 Spring ...
traefik-forward-auth0:后端,用于使用Traefik反向代理对Auth0执行正向身份验证
01-29
Auth0 ForwardAuth for Traefik 这是一个用Kotlin和Java8编写的SpringBoot后端应用程序,用于使用Traefik中的Auth0对用户进行身份验证。 在Traefik中使用正向身份验证配置,并将其指向该后端以通过Auth0登录保护前端。 后端应用程序根据应用程序的域名/子域名支持多个Auth0应用程序和API,并将将从Auth0接收到的JWT和访问令牌保存为浏览器中的cookie。 当访问者访问在Traefik中配置的受保护前端时,会将http呼叫发送到该后端,以验证该用户是有效用户。 更新说明 对于那些要延迟从1.0升级到2.0版本的人,有一个标记为1.0的Docker映像可以继续使用,但是不会得到任何进一步的更新,我建议您尽快升级到2.0。 。 ForwardAuth 2.0版中有一些重要的重大更改。 现在,在请求授权时必须设置观众。 由于Auth0如何处理访问令牌的两种不同类型的令牌格式(不透明令牌和jwt令牌),因此需要进行此更改。 jwt令牌是唯一可以验证和验证的令牌。 因此,从现在开始需要在应用程序配置中设置受众,否则该应用程
thinkphp5.0 权限认证管理模块 插件 RBAC AUTH权限认证管理-tp5auth.zip
11-06
在本案例中,"thinkphp5.0 权限认证管理模块 插件 RBAC AUTH权限认证管理-tp5auth.zip" 提供了一个RBAC(Role-Based Access Control,基于角色的访问控制)权限认证管理插件,用于帮助开发者实现细粒度的权限分配。...
APISIX集成统一鉴权中心
雨中深巷的油纸伞
12-12 566
这里使用forward-auth作为身份认证插件,具体的配置方法可以查看官网 https://apisix.apache.org/docs/apisix/plugins/forward-auth/Apisix提供了很多插件,通过鉴权插件,并配合自定义服务接口,可以很好实现网关层面的统一鉴权,认证还是可以走统一认证中心。也可以和其他子服务共用一个,但是必须是一个单独的apisix路由接口。将刚刚创建好的鉴权服务路由接口,配置在插件中,并启动该插件。与普通创建路由一致,可以参考其他创建路由具体步骤。
开源网关 Apache APISIX 认证鉴权精细化实战讲解
dotNET跨平台
12-25 1960
关注公众号并添加到“星标⭐”,防止错过消息后台回复【资料包】获取学习资料GitOps 新手入门到专家进阶实战详细教程作者钱勇,API7.ai 开发工程师,Apache APISIX Committer在当下云原生越发成熟的环境下,API 网关最核心的功能可以概括为:连接 API 消费者和 API 提供者。实际场景中,除去少部分允许匿名访问的 API 外,提供者往往都会对消费者有所限制,比如只有符合...
Spring Security4.1.3采用forward方式跳转登录界面,标签s:authorize不起作用问题
honghailiang的专栏
10-08 3579
一、        s:authorize定义: http://www.springframework.org/security/tags" prefix="s"%>为security自定义标签 环境版本:security4.1.3 二、问题描述 标签使用: logout">退出 Logout xxxx" class="current">修
【网关建设】03-APISIX实战之插件使用
Kearey的知识仓库
04-21 3419
我们在设计公共服务网关的功能时,共验证并对业务系统开放了如下插件:1、 prometheus 插件2、 log-rotate 插件3、 ip-restriction、real-ip、response-rewrite 插件4、 api-breaker 插件5、 limit-req、limit-conn插件6、 server-info 插件这些插件中,有些是直接开箱即用,没有做单独的讨论和设计,基本都符合业务的基本需求。这些插件我会分别在 【开箱即用】 和 【稍加改造】的章节中集中说明。
认证鉴权对于 API 网关的重要性
ApacheAPISIX的博客
12-22 1096
认证鉴权作为 API 网关不可或缺的能力,已然成为用户在选型 API 网关时考量的重要因素之一。 作者钱勇,API7.ai 开发工程师,Apache APISIX Committer 在当下云原生越发成熟的环境下,API 网关最核心的功能可以概括为:连接 API 消费者和 API 提供者。 实际场景中,除去少部分允许匿名访问的 API 外,提供者往往都会对消费者有所限制,比如只有符合条件的消费者才可以对 API 进行访问。其次,提供者对于不同的消费者的访问策略可能并不相同,例如 A、B 消费者都可以访问
APISIX源码解析-执行阶段【init】
a_12321_123的博客
12-07 1214
APISIX源码解析-执行阶段【init】 ngx_lua 模块执行顺序与阶段 ngx_lua属于nginx的一部分,采用插拔式架构,插入式运行在nginx的11个步骤之中了,不过ngx_lua并不是所有阶段都会运行的;另外指令可以在http、server、server if、location、location if几个范围进行配置: http_init() 1、根据配置文件设置dns_resolver 2、设置apisix实例id,用户可以使用有意义的自定义ID来代替实例id local uid_fi
Django-rest-framework 接口实现 认证:(auth | authentication)
05-28
Django-rest-framework提供了多种认证方式,可以在settings.py中进行配置。常用的认证方式有以下几种: 1. SessionAuthentication:使用Django的Session认证方式,需要在请求头中添加Cookie信息。 2. BasicAuthentication:使用HTTP基本认证方式,需要在请求头中添加Authorization信息。 3. TokenAuthentication:使用Token令牌认证方式,需要在请求头中添加Authorization信息,值为Token token字符串。 4. JSONWebTokenAuthentication:使用JSON Web令牌认证方式,需要在请求头中添加Authorization信息,值为JWT token字符串。 在视图中使用认证方式可以通过装饰器或者继承APIView来实现,例如: ```python from rest_framework.authentication import SessionAuthentication from rest_framework.views import APIView class MyView(APIView): authentication_classes = [SessionAuthentication] def get(self, request, format=None): # 处理GET请求 pass ``` 以上代码中,使用了SessionAuthentication进行认证,可以在其他视图中使用其他认证方式进行认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

API7.ai 技术团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值