kong的多种认证方式设置

最新推荐文章于 2024-05-29 23:06:57 发布
最新推荐文章于 2024-05-29 23:06:57 发布
阅读量1k 收藏 2
点赞数
分类专栏: kong学习记录
原文链接:https://www.xiaomastack.com/2019/08/21/KongAuth/
版权

1.新建一个用于认证验证的consumer

(1).新建consumer

curl -X POST --url http://localhost:8001/consumers/ --data "username=auth_user"

返回如下

{
  "custom_id":null,
  "created_at":1566380171,
  "username":"auth_user",
  "id":"f1b6c168-f6e3-482e-a477-2d09d14dce8b"
}

(2).为该consumer生成key-auth认证秘钥

curl -X POST --url http://localhost:8001/consumers/auth_user/key-auth/

返回

{
  "key": "PDKhYhkbjfZueFBQ7qe3nOYuWiUdOiiN",
  "created_at": 1566382283,
  "consumer": {
    "id": "f1b6c168-f6e3-482e-a477-2d09d14dce8b"
  },
  "id": "f8edga25-5e18-4ec1-a41d-b4fc9ea20208"
  }

可以通过接口/key-auths查看所有消费者的秘钥,通过/consumers/{consumer}/key-auth接口查看指定消费者的秘钥。

(3).为该consumer生成jwt认证秘钥

curl -X POST --url http://localhost:8001/consumers/auth_user/jwt -H "Content-Type: application/x-www-form-urlencoded"

返回

{
  "rsa_public_key": null,
  "created_at": 1566382780,
  "consumer": {
    "id": "f1b6c168-f6e3-482e-a477-2d09d14dce8b"
  },
  "id": "c0296bae-b9bd-4835-b433-95dff237bb4b",
  "algorithm": "HS256",
  "secret": "EGUUr9v99DMGwIk9SpBxvigjzFi5GsBZ",
  "key": "GiweuLOEAwSO9cxkibug7MaBfdJE4NPB"
}

2.再新建一个consumer用于识别匿名用户

curl -X POST --url http://localhost:8001/consumers/ --data "username=anonymous"

返回

{
  "custom_id": null,
  "created_at": 1566388995,
  "username": "anonymous",
  "id": "958e85d7-e39d-4d2c-b8a9-888e25dbeed5"
}

3.为route或service 启用多个认证插件

1.为服务example-service 启用 key-auth 认证

 curl -i -X POST \
  --url http://localhost:8001/services/example-service/plugins/ \
  --data 'name=key-auth'

返回

{
  "created_at": 1566381363,
  "config": {
    "key_names": [
      "apikey"
    ],
    "run_on_preflight": true,
    "anonymous": null,
    "hide_credentials": false,
    "key_in_body": false
  },
  "id": "947db416-1f3a-4a54-a5ff-75b6a55206d7",
  ...
  "name": "key-auth"
}

2.为服务启用JWT认证

curl -i -X POST \
  --url http://localhost:8001/services/example-service/plugins/ \
  --data 'name=jwt'

返回

{
  "created_at": 1566383438,
  "config": {
    "secret_is_base64": false,
    "key_claim_name": "iss",
    "cookie_names": [],
    "maximum_expiration": 0,
    "claims_to_verify": null,
    "anonymous": null,
    "run_on_preflight": true,
    "uri_param_names": [
      "jwt"
    ]
  },
  "id": "fc54429b-73cd-4215-8f4d-35a21c6a389e",
  ...
  "name": "jwt"
}

3.为添加的认证插件启用匿名访问

因为添加多个认证插件后,默认情况下是需要多个插件同时满足,才算认证成功的。所以如果要使多个认证的关系为“或”的关系,那么第一步就必须为插件启用匿名访问

key-auth插件启用匿名访问,插件id为947db416-1f3a-4a54-a5ff-75b6a55206d7,匿名用户id为958e85d7-e39d-4d2c-b8a9-888e25dbeed5

 curl -X PATCH --url http://localhost:8001/services/example-service/plugins/947db416-1f3a-4a54-a5ff-75b6a55206d7/ \
 --data "config.anonymous=958e85d7-e39d-4d2c-b8a9-888e25dbeed5"

jwt插件启用匿名访问,插件id为fc54429b-73cd-4215-8f4d-35a21c6a389e,匿名用户id为958e85d7-e39d-4d2c-b8a9-888e25dbeed5

curl -X PATCH --url http://localhost:8001/plugins/fc54429b-73cd-4215-8f4d-35a21c6a389e/ \
--data "config.anonymous=958e85d7-e39d-4d2c-b8a9-888e25dbeed5"

4.拦截匿名访问

经过上面步骤后,虽然能够使多个认证之间为“或”的关系,但是也允许了匿名用户的访问(即不需认证也可以访问),所以还需要拦截匿名用户。这里使用request-termination插件

(1).启用插件

curl -X POST http://localhost:8001/services/example-service/plugins/ \
--data "name=request-termination" \
--data "config.status_code=401" \
--data "config.content_type=application/json; charset=utf-8" \
--data "config.body={\"message\": \"Authentication required\"}"

(2).匿名消费者anonymous启用该拦截插件

匿名消费者anonymous启用该拦截插件,插件id为e5ff19cf-006d-4fcd-ae00-5837bc5d6938,匿名消费者id为958e85d7-e39d-4d2c-b8a9-888e25dbeed5

curl -X PATCH http://localhost:8001/plugins/e5ff19cf-006d-4fcd-ae00-5837bc5d6938/ \
--data "consumer.id=958e85d7-e39d-4d2c-b8a9-888e25dbeed5"

需要特别注意的是config.anonymous的值是第2步创建的匿名消费用户的id,而不是第一步创建的消费用户的id

官方文档

Multiple Authentication
Kong supports multiple authentication plugins for a given Service, allowing different clients to utilize different authentication methods to access a given Service or Route.

The behaviour of the auth plugins can be set to do either a logical AND, or a logical OR when evaluating multiple authentication credentials. The key to the behaviour is the config.anonymous property.

config.anonymous not set
If this property is not set (empty), then the auth plugins will always perform authentication and return a 40x response if not validated. This results in a logical AND when multiple auth plugins are being invoked.
config.anonymous set to a valid consumer id
In this case, the auth plugin will only perform authentication if it was not already authenticated. When authentication fails, it will not return a 40x response, but set the anonymous consumer as the consumer. This results in a logical OR + ‘anonymous access’ when multiple auth plugins are being invoked.
NOTE 1: Either all or none of the auth plugins must be configured for anonymous access. The behaviour is undefined if they are mixed.

NOTE 2: When using the AND method, the last plugin executed will be the one setting the credentials passed to the upstream service. With the OR method, it will be the first plugin that successfully authenticates the consumer, or the last plugin that will set its configured anonymous consumer.

NOTE 3: When using the OAuth2 plugin in an AND fashion, then also the OAuth2 endpoints for requesting tokens and so forth will require authentication by the other configured auth plugins.
louisliao_1981
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s往secret里导入证书_k8s实践 - 如何优雅地给微服务网关(kong)配置证书和插件
weixin_33764387的博客
01-06 531
作者:justmine(大数据达摩院)出处:https://www.cnblogs.com/justmine创作不易,欢迎转载,但必须在文章开头保留此段声明,否则保留追究法律责任的权利。前言从去年上半年微服务项目上线以来,一直使用kong作为微服务API网关,整个项目完全部署于k8s,一路走来,对于k8s,对于kong,经历了一个从无到有,从0到1的过程,也遇到过了一些坎坷,今天准备分享一些实际的...
Kong网关中使用JWT认证
锐意工作室
07-20 3382
文章目录在Kong网关中使用JWT认证前言JWT认证添加JWT插件生成Consumer的JWT credentials测试JWT认证的其他用法参考文档 在Kong网关中使用JWT认证 前言 在Kong网关快速入门指南 一文中介绍了Basic认证和HMAC认证方式,本文介绍在Kong网关中使用JWT认证。 JWT认证 添加JWT插件 在Service下添加JWT插件,全部保持默认值。 查看插件详情: uri param names: `jwt` key claim name: `iss` secret is
Kong Dashboard系列【五】添加插件---jwt
weixin_40027906的博客
10-29 1965
kong网关添加jwt插件,实现对访问接口的限制 写在前面 首先我们将https://www.baidu.com/ 通过或route+service的方式暴露出来,实现再8000端口访问到,添加service和route的方式 配置完成的service和route postman访问 创建consumer,并为其添加jwt插件 添加jwt插件 jwt插件添加完成后可以看到key,al...
Kong网关身份认证
最新发布
mrcool2012的博客
05-29 1120
启用basic-auth的插件:注意不能直接全局开启,需要在services上或者 routes上开启。HEADER:base64(json ). base64(payload). 下面的代码块。"user2:123456" 转换成 base64:dXNlcjI6MTIzNDU2。生成认证信息:网址:https://jwt.io/#debugger-io。请求的时候,带上 凭证,前提需要做base64的转换。删除插件:(注意:最后是 插件的ID,不是名称)给用户分配认证信息(扩展:账号密码 等)。
API Gateway/API 网关(四) - Kong的使用 - 集成Jwt和熔断插件
anron的专栏
06-22 2981
API Gateway/API 网关 - Kong的使用 - 集成Jwt插件
如何使用 KONG 的 JWT 插件
surfirst的博客
07-11 2473
KONG 是一款很受欢迎的 API GATEWAY,使用它可以降低开发微服务的代码,因为我们可以通过配置来实现诸如认证 (Authentication) 和 (Authorization) 的功能。 JWT 是现代 Web 软件经常用到的一种认证和授权方式,要让KONG 支持 JWT 认证,开发者需要首先配置好在 KONG 中为指定的微服务增加一个 service,然后给 service 增加一个 router。 给 router 增加 JWT 插件 接下来开发者需要给 router 增加 jwt 插件。
Kong入门指南.zip
10-10
2. **认证与授权**: 提供OAuth2、JWT等多种认证机制,确保只有经过验证的用户才能访问API。 3. **限流与熔断**: 防止过量请求导致服务崩溃,可以设定速率限制和配额。 4. **请求与响应的转换**: 可以修改请求和响应...
docker安装kong网关的方法示例
09-29
Kong支持多种数据库,如PostgreSQL和Cassandra。这里以PostgreSQL为例。运行以下命令启动一个名为`kong-database`的PostgreSQL容器,并将其连接到`kong-net`网络: ```bash docker run -d --name kong-database ...
测试Kong
02-13
2. **认证与授权**:Kong支持多种身份验证策略,如OAuth2、JWT(JSON Web Tokens)和其他自定义插件。这些机制确保只有经过验证的用户才能访问特定的API资源。 3. **负载均衡**:Kong可以自动分配请求到多个后端...
kong-docs-cn:微服务Api网关Kong最新文档中文版
02-03
5. **安全性**:Kong提供了多种安全机制,如OAuth2认证、基本认证、JWT(JSON Web Tokens)验证,以及IP黑白名单等,确保API的安全访问。 6. **插件系统**:Kong的插件系统是其强大之处,预置了各种功能插件,如限...
kong-api
03-26
9. **安全性**:Kong可以集成多种身份验证机制,如Basic Auth、OAuth2、JWT等,以保护API免受未经授权的访问。同时,还可以通过速率限制、IP黑白名单等插件来增强安全性。 10. **监控与日志**:Kong可以输出详细的...
Kong API网关使用笔记
ss810540895的博客
03-04 817
kong配置了很多东西后一定要记得备份,备份可使用konga界面里面的Snapshot功能,创建快照,然后导出快照。
ACL鉴权 - 玩转Kong插件
chiqiao5151的博客
04-19 614
开启ACL建权插件 1、在服务上启用插件 $ curl -X POST http://kong:8001/services/{service}/plugins \ --data "name=acl" \ --data "config.whitelist=grou...
kong认证插件添加第二认证方式
github_38596081的博客
12-23 721
认证插件对象(如ldap-auth) 的anonymous字段添加第二认证方式 查看ldap的插件设置 anonymous为basic-auth的plugin的consumer id 在Authorization中设置认证密码username/password credentials 第一认证credentials为ldap: 第二认证credentials为...
kong笔记——kong的权限认证插件选择参考
罗伯特是疯子丶
02-25 2694
kong可提供的权限认证场景 Basic auth 基本介绍 基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和密码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上密码,并将得出的结果字符串再用Base64算法编码。 eg: 提供的用户名是:admin 口令是:123456 拼接后的结果是:admin:123456,然后再将其用Base64编码的字符串为:YWRtaW46MTIzNDU2 最终将Base64编码的字符
Kong 基础认证插件 ( Basic auth )
知无涯
05-19 3641
Kong 基础认证插件 ( Basic auth ) Kong 网关有许许多多的插件,接下来我们首先来看下 AUTHENTICATION模块下的基础认证 ( Basic Auth )插件。下文将会详细讲解其实现 什么是 Basic Auth? 基本认证是基于 HTTP 的安全认证机制。 Basic Auth 的流程。 浏览器的 Basic Auth 类似于你日常的用户名密码登陆。其流程类似为: C => 你好,我想进入这家酒吧。 S => 你好,我们这家酒吧需要会员才能进入。 C =&g
Kong Key 认证
hay23455的博客
02-05 1041
认证是验证请求者是否有权限访问资源的过程。正如其名称所示,API网关认证用于验证数据在上游服务之间的流动。Kong网关具有支持最常用的API网关认证方法的插件库。
微服务Kong(五)——添加一个用户(Consumer)
bangpao4432的博客
03-26 1588
  在本节中,我们将学习如何添加一个用户(consumer)到KONG实例中。用户是与使用您的API的个人相关联,可用于跟踪,访问管理等。   NOTE:本节假设您已经正确启用了密钥验证插件。如果没有,请参考之前的步骤进行正确配置。   1. 创建一个用户:   通过以下命令,来创建一个模拟用户Jason: $ curl -i -X POST \ --url http:...
kong 设置https
07-27
要在Kong设置HTTPS,您需要执行以下步骤: 1. 获取SSL证书:您可以通过购买SSL证书或使用免费的证书颁发机构(如Let's Encrypt)来获取SSL证书。确保您获得了证书的公钥和私钥。 2. 将SSL证书添加到Kong:将证书...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值