Kong 实现服务访问控制

最新推荐文章于 2024-05-22 14:27:19 发布
最新推荐文章于 2024-05-22 14:27:19 发布
阅读量2.6k 收藏
点赞数
文章标签: kong key-auth ACL kong 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baobaoxiannv/article/details/102497727
版权

文章目录

前提

你已经正确创建了一个 Kong,并添加了两个服务(本文基于 DB 模式,无 DB 模式可参考本文)。
本文服务的访问控制基于 Kong 插件 key-auth + ACL 实现,现在开始。

Kong 相关链接 github安装 Kong

第一步:为服务和路由开启 key-auth 插件

服务开启

curl -X POST http://10.20.11.117:8001/services/67f7e680-2da2-4200-8963-96ef05243ca3/plugins --data "name=key-auth"

返回结果

{"created_at":1570761632,"config":{"key_names":["apikey"],"run_on_preflight":true,"anonymous":null,"hide_credentials":false,"key_in_body":false},"id":"eb321ca9-d5cd-464c-8396-9f2d661dd81a","service":{"id":"67f7e680-2da2-4200-8963-96ef05243ca3"},"name":"key-auth","protocols":["grpc","grpcs","http","https"],"enabled":true,"run_on":"first","consumer":null,"route":null,"tags":null}

路由开启

curl -X POST http://10.20.11.117:8001/routes/d017bca0-889b-431d-9fc8-8ac6b9a0b203/plugins --data "name=key-auth"

返回结果

{"created_at":1570761690,"config":{"key_names":["apikey"],"run_on_preflight":true,"anonymous":null,"hide_credentials":false,"key_in_body":false},"id":"495b9757-f9b0-4f3a-b0b3-7e9e3f1ef157","service":null,"name":"key-auth","protocols":["grpc","grpcs","http","https"],"enabled":true,"run_on":"first","consumer":null,"route":{"id":"d017bca0-889b-431d-9fc8-8ac6b9a0b203"},"tags":null}

第二步:创建消费则添加自定义 key

创建消费者

curl -X POST http://10.20.11.117:8001/consumers --data "username=test"

返回结果

{"custom_id":null,"created_at":1570761720,"id":"5c140f36-8075-436d-a025-0181645159a0","tags":null,"username":"test"}

创建自定义 Key

curl -X POST http://10.20.11.117:8001/consumers/test/key-auth/ --data "key=test_api_key_json"

返回结果

{"key":"test_api_key_json","created_at":1570761733,"consumer":{"id":"5c140f36-8075-436d-a025-0181645159a0"},"id":"8784fe3d-59f7-4c83-ac27-57e434132f17"}

第三步:测试 key-auth 插件是否成功

不携带 key 访问

curl -i -X GET --url http://10.20.11.117:8000/demo2 --header --data "name=sss"

返回

{"message":"No API key found in request"}

携带 key 访问

curl -i -X GET --url http://10.20.11.117:8000/demo2 --header --data "name=sss"

返回

success  from dubbo v2.7: Hello word, response from provider: 172.17.0.7:27880

截止到此 key-auth 开启成功

第四步:为服务和路由开启 ACL 插件

为服务开启

curl -X POST http://10.20.11.117:8001/services/67f7e680-2da2-4200-8963-96ef05243ca3/plugins \
     --data "name=acl"  \
     --data "config.whitelist=group1" \
     --data "config.whitelist=group2" \
     --data "config.hide_groups_header=true"

返回值

{"created_at":1570761812,"config":{"hide_groups_header":true,"blacklist":null,"whitelist":["group1","group2"]},"id":"21d8c944-82aa-4e19-8a28-80f7f35ff738","service":{"id":"67f7e680-2da2-4200-8963-96ef05243ca3"},"name":"acl","protocols":["grpc","grpcs","http","https"],"enabled":true,"run_on":"first","consumer":null,"route":null,"tags":null}

为路由开启

curl -X POST http://10.20.11.117:8001/routes/d017bca0-889b-431d-9fc8-8ac6b9a0b203/plugins \
     --data "name=acl" \
     --data "config.whitelist=group1" \
     --data "config.whitelist=group2" \
     --data "config.hide_groups_header=true"

返回值

{"created_at":1570761891,"config":{"hide_groups_header":true,"blacklist":null,"whitelist":["group1","group2"]},"id":"18de98a2-2402-4a30-9918-a5b3fa6ff951","service":null,"name":"acl","protocols":["grpc","grpcs","http","https"],"enabled":true,"run_on":"first","consumer":null,"route":{"id":"d017bca0-889b-431d-9fc8-8ac6b9a0b203"},"tags":null}

解释一下本条命令,本条命令在开启 ACL 插件的同时还创建了两个白名单分别是:group1、group2

第五步:消费者加入白名单

执行:

curl -X POST http://10.20.11.117:8001/consumers/test/acls --data "group=group1"
curl -X POST http://10.20.11.117:8001/consumers/test/acls --data "group=group2"

返回:

{"group":"group1","created_at":1570761918,"consumer":{"id":"5c140f36-8075-436d-a025-0181645159a0"},"id":"e0c05bde-abde-4b8f-a2bc-8cd6a223586d"}
{"group":"group2","created_at":1570761920,"consumer":{"id":"5c140f36-8075-436d-a025-0181645159a0"},"id":"15c7dbd1-4c0c-4562-996a-68731444c40d"}

第六步:测试 ACL + key-auth

访问服务

curl -i -X GET --url http://10.20.11.117:8000/demo2 --header "apikey: test_api_key_json" --data "name=sss"

此时,test 已进入白名单使用 test 用户的 key 一个可以访问服务
返回

success  from dubbo v2.7: Hello word, response from provider: 172.17.0.7:27880

假设我们此时再次创建一个消费者并添加自定义 key 确不加入白名单,结果如下:

curl -X POST http://10.20.11.117:8001/consumers --data "username=andy"
curl -X POST http://10.20.11.117:8001/consumers/andy/key-auth/ --data "key=andy_api_key_json"
curl -i -X GET --url http://10.20.11.117:8000/demo2 --header "apikey: andy_api_key_json" --data "name=sss"

返回值

{"message":"You cannot consume this service"}

解释上方代码块内容:先创建了一个消费者叫做 andy,然后为这个消费者创建了一个自定义 key 叫做 andy_api_key_json,最后拿着这个 key 去访问服务,因为这个消费者没有加入白名单所有理所当然的不能访问抛出了 {"message":"You cannot consume this service"}

SunnyJim
关注
【云原生网关】Kong 使用详解
congge
05-02 5350
云原生网关kong使用详解
Kong API Gateway 配置与深入
程序员光剑
07-28 1534
Kong是一个开源的、高性能的API网关,提供了一种简单易用的服务间路由、流量管理和安全防护方案,其最初起源于Nginx Inc.,但后迁移至Apache Software Foundation。Kong支持RESTful、GraphQL、TCP/UDP等协议,可与AWS Lambda、Azure Functions、Google Cloud Functions等云函数平台集成。其主要功能包括:服务发现与负载均衡、请求代理、身份认证与授权、缓存、日志记录、监控指标、灰度发布、多种插件等。
基于kong + oauth2 + acl的用户访问权限管理
pushiqiang的博客
07-13 9768
需求说明 对admin进行分组管理,不同的用户有访问不同api(服务)的权限,类似django admin的用户组功能 由于认证系统是完全可信的内部系统,简单起见使用密码授权方式 在网关层做接入权限管控,而非后端应用的业务权限 启动kong # 启动kong使用的数据库postgres/cassandra docker run -d --name kong-database \ -...
kong系列七】之ACL策略插件
Java高手真经
08-18 6030
ACL策略插件 策略分组规则: 1).为用户分配授权策略组 2).为api添加授权策略分组插件。 3).只有拥有api授权策略分组的用户才可以调用该api。 4).授权策略分组,必须建立在认证机制上,该策略生效的前提,api至少要开启任意一个auth认证插件。
kong api gateway 插件之acl
偶爱喝可乐
11-03 3711
添加一个API curl -i -X POST \ --url http://localhost:8001/apis/ \ --data 'name=example-api' \ --data 'uris=/user' \ --data 'upstream_url=http://test.my' 返回值 { "created_at":1509616750000
服务API网关-kong初探
began2014的博客
09-06 1661
一 概述 Kong是一个clould-native、快速的、可扩展的、分布式的微服务抽象层(也称为API网关、API中间件或在某些情况下称为服务网格)框架。更确切地说,Kong是一个在Nginx中运行的Lua应用程序,并且可以通过lua-nginx模块实现Kong不是用这个模块编译Nginx,而是与OpenResty一起发布,OpenResty已经包含了lua-nginx-module。Open...
Kong 网关使用入门
weixin_33872660的博客
06-19 2728
Kong介绍 Kong是一款基于Nginx_Lua模块写的高可用网关API,通过前置的负载均衡配置把请求均匀地分发到各个Server,来应对大批量的网络请求。基于Nginx 特性,Kong本身也非常容易地扩展到多个服务器上。 Kong主要有三个组件: Kong Server :基于nginx的服务器,用来接收API请求。 Apache Cassandra/PostgreSQL :用来存储操作数据。...
95、Kong与Consul:微服务架构下的API网关和服务发现实战
最新发布
silenceallat的博客
05-22 1128
本文介绍了Python开发中如何熟悉API网关和服务发现,以Kong和Consul为例,深入解析了其应用场景和实用技巧。通过实际案例分析,展示了Kong和Consul在电商平台的微服务架构中的使用方法,包括高并发处理、服务配置同步和多数据中心服务治理。文章强调了掌握这些工具和技术对于构建现代化、高可用的分布式系统的重要性,并呼吁读者继续深入研究和实践。
Kong入门指南.pdf
07-11
Kong支持多种插件,这些插件可以实现访问控制、缓存、速率限制和日志记录等功能,增强API网关的安全性和性能。 在Kong的开源版本中,它已经能够提供基本的API网关功能,包括路由和路由配置,服务注册和消费者管理等...
Kong
02-12
3. **安全控制**:Kong 提供了认证、授权和访问控制功能,如 OAuth2、JWT(JSON Web Tokens)、基本认证等,确保只有经过验证的请求才能访问后端服务。 4. **API 管理**:Kong 可以作为 API 网关,提供 API 版本...
kong的IP RESTRICTION的配置
u012821124的博客
12-08 2754
Kong的IP RESTRICTION就是IP控制插件,可以控制全局、服务、路由、消费方的IP地址,通过设置黑白名单,来限制访问的IP和IP段。IP或CIDR范围到白名单的逗号分隔列表。必须在白名单或黑名单之间至少指定一个。 1、 如果配置了白名单,则白名单之外的IP都不允许访问。 2、 如果配置了黑名单,则黑名单之外的IP都允许访问。 3、 如果同时配置了黑白名单,则只允许白名单的访问。 我们将该插件配置到test-service服务上,并设置限制黑名单的IP地址为调用服务的IP。 上图我们看一下,业
kong插件应用(熔断 限流,黑白名单,认证(basic,key,jwt,hmac,),授权,加密,zipkin链路跟踪,日志, prometheus可视化, 爬虫控制插件)
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
12-29 1万+
插件概述 插件之于kong,就像Spring中的aop功能。 在请求到达kong之后,转发给后端应用之前,你可以应用kong自带的插件对请求进行处理,合法认证,限流控制,黑白名单校验,日志采集等等。同时,你也可以按照kong的教程文档,定制开发属于自己的插件。 kong的插件分为开源版和社区版,社区版还有更多的定制功能,但是社区版是要收费的。 目前,KONG开源版本一共开放28个插件,如下: ac...
服务之API网关:Kong:插件介绍:认证插件ip-restriction之黑白名单
知行合一 止于至善
05-28 8245
kong目前提供了37个插件,其中商业收费7个,30个开源免费的插件,可以设定到api/服务/路由粒度上。 环境设定 操作 详细 概要与安装 https://blog.csdn.net/liumiaocn/article/details/80442222 kong路由功能 https://blog.csdn.net/liumiaocn/article...
服务 - Kong Http Api 实现负载均衡、jwt认证、限流、黑白名单
stark张宇
05-06 803
使用Kong的第一步是激活链接,登录Kong管理后台,找到 Connections,把Kong的Api链接上,因为我本地的端口进行了映射,所以需要找到Docker的network 上的ip,进行绑定, ip 地址。相较于权限验证,Kong的限流就比较简单了许多,Kong采用计数器的形式进行限流。用户名密码的认证方式,在Konga的Consumers添加就可以了。Kong的黑/白名单功能是根据限制ip实现的。配置Route的时候,paths参数必须以。1.添加jwt认证操作组件操作。
API网关工具Kong或nginx ingress实现对客户端IP的白名单限制,提高对外服务的访问安全
天草二十六
04-15 1356
这样,我们就能在公司研发环境下,访问部署在生产的服务,既方便了联调测试,又一定程度地提高了网络安全。
10 Kong 内置插件
dabusidede的博客
02-21 486
本篇文件介绍Kong内置的一些插件 注:本篇文章纯属鸡肋,我也不好意思向你们要Star了 添加插件 1.针对某个服务的插件 进入服务详情页面,Plugins标签页下面添加插件 2.全局插件 在PLUGINS页面可以添加全局插件 IP限制插件 Security -> ip restriction 为IP限制插件 其包含字段如下: consumer:要应用的消费者,为空为应用到所用消费者 whitelist:IP白名单列表,不在白名单内的不运允许访问 blacklist:IP黑名单列表,在黑名单内的
Kong 系列【六】添加插件---ip-restriction之黑白名单
weixin_40027906的博客
10-29 966
写在前边 本地postMan请求http://192.168.130.131:8000/test-route,可以正常访问,本地IP:192.168.130.1 同样在虚拟机环境192.168.130.129也可以正常访问。 添加ip-restriction插件 将129添加到blacklist,在分别进行访问。本地可以访问,129提示IP address is not allowed. ...
Kong的插件: ACL
风一样的少年
09-12 1908
简述 这个插件使用控制谁可以访问,谁不能访问的。如果使用这个插件,就必须使用认证的插件了比如base-auth, key-auth等。拿base-auth举例: 我们在浏览器输入的用户和密码,在Kong内部会转化到group层。如果对应的group在白名单中,那么访问通过,如果在黑名单中则访问被禁止。 操作起来 环境准备 你应该有一个可以正常使用的service和route,如果没有的话可以参照...
API gateway 之 kong 基本操作 (三)
weixin_30322405的博客
04-05 485
一、演示环境准备   1、nginx配置 [root@nginx conf.d]# pwd /etc/nginx/conf.d [root@nginx conf.d]# ls conf_bak kong_test.conf [root@nginx conf.d]# cat kong_test.conf server { listen 80; ...
kong oauth2
07-27
它支持OAuth 2.0身份验证协议,可以用于实现API的安全访问控制。 使用Kong实现OAuth 2.0身份验证,你可以按照以下步骤进行操作: 1. 安装和配置Kong:首先,你需要安装并配置Kong API网关。你可以根据Kong的官方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值