APISIX源码解析-插件-外部认证【forward-auth】

最新推荐文章于 2023-12-28 19:36:20 发布
最新推荐文章于 2023-12-28 19:36:20 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: apisix 文章标签: lua 网关 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_12321_123/article/details/123758924
版权

forward-auth 外部认证

关键属性

在这里插入图片描述

源码实现

function _M.access(conf, ctx)
    -- 固定传递给authorization服务的请求头
    local auth_headers = {
        ["X-Forwarded-Proto"] = core.request.get_scheme(ctx),
        ["X-Forwarded-Method"] = core.request.get_method(),
        ["X-Forwarded-Host"] = core.request.get_host(ctx),
        ["X-Forwarded-Uri"] = ctx.var.request_uri,
        ["X-Forwarded-For"] = core.request.get_remote_client_ip(ctx),
    }

    -- append headers that need to be get from the client request header
    -- 根据request_headers配置,将client请求头传递给authorization服务
    -- 备注:不能覆盖auth_headers中的请求头
    if #conf.request_headers > 0 then
        for _, header in ipairs(conf.request_headers) do
            if not auth_headers[header] then
                auth_headers[header] = core.request.header(ctx, header)
            end
        end
    end

    local params = {
        headers = auth_headers,
        keepalive = conf.keepalive,
        ssl_verify = conf.ssl_verify,
        method = conf.request_method
    }

    -- 向authorization service请求仅支持GET POST方法
    -- 如果是post方法,将client请求body,也转到authorization service
    if params.method == "POST" then
        params.body = core.request.get_body()
    end

    if conf.keepalive then
        params.keepalive_timeout = conf.keepalive_timeout
        params.keepalive_pool = conf.keepalive_pool
    end

    local httpc = http.new()
    httpc:set_timeout(conf.timeout)

    local res, err = httpc:request_uri(conf.uri, params)

    -- block by default when authorization service is unavailable
    -- 当authorization service不可用时返回403
    if not res then
        core.log.error("failed to process forward auth, err: ", err)
        return 403
    end

    if res.status >= 300 then
        local client_headers = {}
        -- 当认证失败时,根据client_headers配置,将authorization service的请求头返回给client
        if #conf.client_headers > 0 then
            for _, header in ipairs(conf.client_headers) do
                client_headers[header] = res.headers[header]
            end
        end

        core.response.set_header(client_headers)
        return res.status, res.body
    end

    -- append headers that need to be get from the auth response header
    -- 当认证成功时,根据upstream_headers配置,将authorization service的请求头传递给上游,比如x_user_id(认证成功后的生ID)等
    for _, header in ipairs(conf.upstream_headers) do
        local header_value = res.headers[header]
        if header_value then
            core.request.set_header(ctx, header, header_value)
        end
    end
end
哈哈!耶!
关注
专栏目录
Apisix安全篇』快速掌握APISIX Basic-Auth插件高效使用
老陈聊架构
05-16 1286
🌐 本文是APISIX Basic-Auth插件的全面使用指南,助您打造坚不可摧的API安全防线。
Apisix安全篇』探索Apache APISIX身份认证插件:从基础到实战
最新发布
老陈聊架构
03-27 1729
🌐 本文深入探讨了Apache APISIX在现代微服务架构中实现API安全的关键环节——身份认证。文章首先强调了API网关在连接API消费者和提供者中的作用,并介绍了APISIX支持的多种身份授权插件,如Key Authentication、Basic Authentication、JWT Authentication等。
10.14 apache用户认证
weixin_46396109的博客
10-14 86
traefik-forward-auth:最小前向身份验证服务,可为traefik反向代理提供基于GoogleOpenID oauth的登录和身份验证
02-03
Traefik转发身份验证 一种最小的前向身份验证服务,可为反向代理/负载平衡器提供OAuth / SSO登录和身份验证。 为什么? 无缝地将任何http服务与单个端点重叠(请参阅: url-path ) 支持多个提供商,包括Google和OpenID Connect(由Azure,Github,Salesforce等支持) 通过动态生成redirect_uri的来支持多个域/子域 允许根据请求参数有选择地应用/绕过身份验证(请参阅rules ) 支持使用集中式身份验证host / redirect_uri(请参阅auth-host ) 允许身份验证在多个域中持续存在(请参阅) 支持Google令牌生存期以外的扩展身份验证(请参阅:lifetime ) 内容 发布 我们建议在thomseddon/traefik-forward-auth:2 hub上使用2标签( thomseddon/traefik-forward-auth:2 )。 您还可以使用在和上找到的最新增量版本。 ARM版本也可在泊坞窗枢纽,只是追加-arm或-arm64到你想要释放(例如2-arm或2.1
traefik-forward-auth0:后端,用于使用Traefik反向代理对Auth0执行正向身份验证
01-29
Auth0 ForwardAuth for Traefik 这是一个用Kotlin和Java8编写的SpringBoot后端应用程序,用于使用Traefik中的Auth0对用户进行身份验证。 在Traefik中使用正向身份验证配置,并将其指向该后端以通过Auth0登录保护前端。 后端应用程序根据应用程序的域名/子域名支持多个Auth0应用程序和API,并将将从Auth0接收到的JWT和访问令牌保存为浏览器中的cookie。 当访问者访问在Traefik中配置的受保护前端时,会将http呼叫发送到该后端,以验证该用户是有效用户。 更新说明 对于那些要延迟从1.0升级到2.0版本的人,有一个标记为1.0的Docker映像可以继续使用,但是不会得到任何进一步的更新,我建议您尽快升级到2.0。 。 ForwardAuth 2.0版中有一些重要的重大更改。 现在,在请求授权时必须设置观众。 由于Auth0如何处理访问令牌的两种不同类型的令牌格式(不透明令牌和jwt令牌),因此需要进行此更改。 jwt令牌是唯一可以验证和验证的令牌。 因此,从现在开始需要在应用程序配置中设置受众,否则该应用程
apisix admin api 403 Forbidden(接口请求403)
m0_37298500的博客
12-28 1223
当你通过apisix的admin api 接口方式执行相关操作时,例如route、upstream设置,接口返回403 Forbidden
apisix 插件配置 未生效 未起作用
m0_37298500的博客
12-28 904
apisix 插件配置 未生效 未起作用
基于 Traefik 的 ForwardAuth 配置
east4ming的博客
12-25 1163
前言 Traefik 是一个现代的 HTTP 反向代理和负载均衡器,使部署微服务变得容易。 Traefik 可以与现有的多种基础设施组件(Docker、Swarm 模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。 系列文章: 《Traefik 系列文章》 今天我们基于 Traefik on K8S 来详细说明如何通过 forwardauth 实现认证功能,并通过 ForwardAuth 和 OAuth 2.0
新版本插件解读|如何借助 Forward Auth 增强认证能力
ApacheAPISIX的博客
02-15 1437
本文将介绍 Apache APISIX 2.12.0 版本中新增插件 forward-auth 的使用方法,为大家简单说明下如何使用这款设计简洁的认证模型。
APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)
ApacheAPISIX的博客
04-22 481
问题描述 jwt-auth 插件存在泄露用户秘钥的安全问题,因为从依赖库 lua-resty-jwt 返回的错误信息中包含敏感信息。 影响版本 Apache APISIX 2.13.0 及其之前全部版本 解决方案 请立即升级至 Apache APISIX 2.13.1 及以上版本。 如果不方便更新版本,请在 Apache APISIX 上安装对应版本的补丁包,实现重构,以绕过该漏洞(补丁包安装且生效后,调用方接收到的错误信息将为修复后的错误信息,不再包含敏感信息)。 以下补丁包适用于 LTS 2
【项目实战】复盘APISIX云原生网关-入门插件使用
本本本添哥
07-04 1747
复盘APISIX云原生网关-入门插件使用
使用 OpenID Connect 和 Apache APISIX 进行身份验证
jascl的博客
03-10 537
许多公司都渴望提供他们的身份提供商:Twitter、Facebook、谷歌等。对于小型企业来说,不必管理身份是一个好处。但是,我们希望避免被锁定在一个提供商中。在这篇文章中,我想演示如何使用下面的 Google 使用 OpenID Connect,然后切换到 Azure。
使用 Apache APISIX 和 Okta 来实现身份认证
ApacheAPISIX的博客
09-16 1224
通常应用会通过身份认证识别用户身份,并根据用户身份 ID 从身份提供方(Identity Provider)获取详细的用户元数据,并以此判断用户是否拥有访问指定资源的权限。身份认证模式分为两大类:传统认证模式和集中认证模式。在传统认证模式下,各个应用服务需要单独支持身份认证,例如当用户未登录时访问登录接口,接口返回 301 跳转页面。应用需要开发维护 Session 以及和身份提供商的认证交互等逻辑。传统认证模式的流程如下图所示:首先由用户发起请求(request),然后由网关接收请求并将其转发至对应的应用
ApiSix 配置 jwt-auth认证
军大君的博客
06-10 3890
在对应的服务器执行以下命令,我尝试通过面板来创建这个Route,发现创建的时候必须指定上游,官方文档就是通过命令创建该Route.官方连接 4.尝试获取token,直接访问路径就可以 ![在这里插入图片描述](https://img-blog.csdnimg.cn/db1695d5497a479dbdac3c5e7f204838.pngtoken可以放在/请求中/cookie/header...............
基于APISIX的basic-auth插件对Minio文件上传功能进行授权
温暖不了你的心的博客
07-19 967
APISIX网关对minio文件系统的应用
我遇到的问题之request method ‘post’ not supported
热门推荐
sinat_22143835的博客
05-09 3万+
文章目录我遇到的问题之request method 'post' not supported背景尝试解决源码大法好总结 我遇到的问题之request method ‘post’ not supported 你所遇到的问题,别人肯定也遇到过。 背景 ​ 最近在做一个后台系统的spring升级为spring boot的项目,期间各种xml配置要升级为configuration Bean的方式,还有自己公司的一些jar包升级。升级的,如果想快速搞定的,可以找别人已经尝试过上线的系统拿来参考。不过我
APISIX 如何与 Hydra 集成,搭建集中认证网关助力企业安全
ApacheAPISIX的博客
07-12 1136
本文主要介绍了 Hydra 如何与 APISIX 进行集成以及 Hydra 的应用场景。你只需要在服务器上安装 Hydra 相关的程序,就可以直接使用它作为你的身份认证程序。这种认证方式可以减少学习和维护成本,也为用户提供了安全和精简的体验。...
Authing 结合 APISIX 实现统一可配置 API 权限网关(快速启动版)
Authing的博客
02-08 702
通过 Authing 权限管理 + APISIX 实现 API 的访问控制。
APISIX整合KeyCloak认证
I_T_T_I的博客
08-13 1130
APISIX整合KeyCloak认证
Laravel5.5安装与使用jwt-auth生成Token全攻略
例如,生成 token 可以使用 `JWTAuth::fromUser($user)`,其中 `$user` 是认证后的用户对象。验证 token 可以用 `JWTAuth::parseToken()->authenticate()`。 8. 路由保护: 为了保护特定的 API 路由,可以使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值