身份验证详解 - 玩转Kong网关

最新推荐文章于 2022-04-05 12:46:39 发布
最新推荐文章于 2022-04-05 12:46:39 发布
阅读量1.1k 收藏
点赞数
文章标签: ldap 网络 数据库
原文链接:https://my.oschina.net/u/1404949/blog/3039467
版权

客户端访问上游API服务,通常由Kong的认证插件及其配置参数来控制。

通用认证

一般情况下,上游API服务都需要客户端有身份认证,且不允许错误的认证或无认证的请求通过。认证插件可以实现这一需求。这些插件的通用方案/流程如下:

1、向一个API或全局添加AUTH插件(此插件不作用于consumers);

2、创建一个consumer对象;

3、为consumer提供指定的验证插件方案的身份验证凭据;

4、现在,只要有请求进入Kong,都将检查其提供的身份验证凭据(取决于auth类型),如果该请求无法被验证或者验证失败,则请求会被锁定,不执行向上有服务转发的操作。

但是,上述的一般流程并不是总是有效的。譬如,当使用了外部验证方案(比如LDAP)时,KONG就不会(不需要)对consumer进行身份验证。

Consumers

最简单的理解和配置consumer的方式是,将其于用户进行一一映射,即一个consumer代表一个用户(或应用)。但是对于KONG而言,这些都无所谓。consumer的核心原则是你可以为其添加插件,从而自定义他的请求行为。所以,或许你会有一个手机APP应用,并为他的每个版本都定义一个consumer,又或者你又一个应用或几个应用,并为这些应用定义统一个consumer,这些都无所谓。这是一个模糊的概念,他叫做consumer,而不是user!万万要区分开来,且不可混淆。

匿名验证

1、创建Service

$ curl -i -X POST \
  --url http://localhost:8001/services/ \
  --data 'name=example-service' \
  --data 'url=http://mockbin.org/request'

2、创建Route

$ curl -i -X POST \
  --url http://localhost:8001/services/example-service/routes \
  --data 'paths[]=/auth-sample'

3、然后访问:http://localhost:8000/auth-sample,就可以转发到http://mockbin.org/request

4、给Service配置一个key-auth(关键词认证)插件

$ curl -i -X POST \
  --url http://localhost:8001/services/example-service/plugins/ \
  --data 'name=key-auth'

获得一个plugin_id:7bead48d-53e5-4244-b82c-1af7249af964

5、这是再访问一下 http://localhost:8000/auth-sample 返回:

{
"message": "No API key found in request"
}

6、添加一个匿名消费者

$ curl -i -X POST \
  --url http://localhost:8001/consumers/ \
  --data "username=anonymous_users"

获得consumer_id:69855c08-2625-415f-b11e-188436c0ec6a

7、关联匿名消费者与key-auth插件

$ curl -i -X PATCH \
  --url http://localhost:8001/plugins/7bead48d-53e5-4244-b82c-1af7249af964 \
  --data "config.anonymous=69855c08-2625-415f-b11e-188436c0ec6a"

当然,关联之后就可以访问了,这样没什么意义。所以,一般会添加认证关键字进行认证。

$ curl -X POST http://localhost:8001/consumers/anonymous_users/key-auth -d 'key=test'

8、然后,就正常访问 http://192.168.1.12:8000/auth-sample?apikey=test

...
"headers": {
    ...
    "x-consumer-id": "69855c08-2625-415f-b11e-188436c0ec6a",
    "x-consumer-username": "anonymous_users",
    ...
}
...

多重身份验证

Kong支持多种验证插件,允许不同的客户端使用不同的认证方法来访问给定的服务或路由。在评估多个身份验证凭据时,可以将验证插件的行为设置为逻辑AND或逻辑OR。该行为的关键是配置config.anonymous属性。

  • config.anonymous 默认为未设置。如果此属性未设置(空),则auth插件将始终执行身份验证,并返回40x响应(如果未验证)。当调用多个验证插件时,会导致逻辑AND。
  • config.anonymous 设置为有效的consumer ID。在这种情况下,auth插件只有在尚未认证的情况下才会执行身份验证。当身份验证失败时,它不会返回40x响应,而是将匿名consumer设置为consumer。当调用多个验证插件时,会使用OR+匿名。

备注1:所有的或任何一个验证插件都可配置为可使匿名访问的。但是,如果要混合使用验证插件,则对于匿名访问的配置就需要进行甄选,否则会出现混乱。

备注2:如果使用AND逻辑,则最后一个执行的验证插件将是把验证信息传递给上游服务的那个。当使用OR逻辑时,传递给上游服务验证信息的那个插件,将会是第一个成功验证consumer的那个插件,或者是最后一个配置了匿名访问权限的那个插件。

ps:如果对API使用多个验证插件,且插件间的逻辑配置为OR的话,最好不要为每个插件开启匿名访问,这样才能保证最终能成功请求的consumer是预期的那个。否则会有不可预期的结果出现。

转载于:https://my.oschina.net/u/1404949/blog/3039467

chiqiao5151
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kong系列-06-代理路由与匹配
twingao的专栏
01-22 2746
代理协议 Kong支持http/https、tcp/tls和grpc/grpcs协议的代理。 http: methods, hosts, headers, paths (and snis, if https) tcp: sources, destinations (and snis, if tls) grpc: hosts, headers, paths (and snis, if grpcs) ...
springboot-kong:该项目的目标是创建一个简单的Spring Boot REST API,并使用LDAP身份验证和基本身份验证插件通过Kong对其进行保护。 此外,我们将探索Kong提供的更多插件,例如:Rate Limiting,StatsD和Prometheus插件。
02-04
弹簧靴 该项目的目标是创建一个简单的 REST API,并使用LDAP Authentication和Basic Authentication插件通过进行保护。 此外,我们将探索Kong提供的更多插件,例如: Rate Limiting , Prometheus和StatsD插件。 项目图 应用 简单服务 Spring Boot Java Web应用程序公开了两个端点: /api/public :任何人都可以访问,但不安全; /api/private :只有经过身份验证的用户才能访问。 先决条件 构建应用程序Docker映像 打开终端并导航到springboot-kong根文件夹 运行以下
kong系列五】之 基本认证Basic Authentication插件
|] 大世界,小人物
08-18 8372
Basic Authentication
网关kongkonga的API认证
weixin_45342351的博客
04-05 2567
网关kong的认证方式有多种,由于企业是用API来认证的,记录一下API认证的添加过程 一、通过kong的api接口给server添加api认证 1,给server添加api认证的插件,指定给flask_server添加api认证 curl -i -X POST --url http://localhost:8001/services/flask_server/plugins/ --data 'name=key-auth' 2,api认证添加消费者,添加1个消费者 curl -i -X POST
Api网关Kong集成Consul做服务发现及在Asp.Net Core中的使用
寒冰屋的专栏
06-01 1679
目录 写在前面 本文目的 运行环境 kong kong的简介 kong的安装 consul consul简介 consul的安装 kong集成consul做服务发现 在Asp.net Core中的使用 Asp.net Core 服务自动注册到Consul 源码解析 Asp.net core WebApi 自动注册路由规则到kong 通过Consul 不通过Consul,直接配置路由到kong 源码解析 总结 [参考] 写在前面   Api网关我们之前是用 ...
ASP.NET窗体身份验证详解
01-20
asp.net的身份验证类型如下:   在我们实际的工作中,froms身份验证用的还是比较多的,我们接下来详细说一下: 做为web开发的程序员,我想登录窗体是接触的太多了。可是,我发现有的程序员在对身份验证的时候是把...
浅谈asp.net Forms身份验证详解
01-20
对于一些敏感的资源,我们只希望被授权的用户才能够访问,这让然需要用户的身份验证。对于初学者,通常将用户登录信息存放在Session中,笔者在刚接触到asp.net的时候就是这么做的。当我将用户信息存在在Session中时...
详解Go-JWT-RESTful身份认证教程
09-18
主要介绍了详解Go-JWT-RESTful身份认证教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django中的用户身份验证示例详解
01-01
前言 这次开发微信抢票程序中,普通用户的身份是由微信管理的。当用户通过微信公众号(测试号...这次的后端是Django,试了一下发现Django实现了一套自己的身份验证的API,用起来非常方便。 用户创建与修改 众所周知,D
Basic验证插件 - 玩转Kong插件
chiqiao5151的博客
04-19 242
如何启用插件? 1、通过以下请求在服务上配置这个插件: $ curl -X POST http://kong:8001/services/{service}/plugins \ --data "name=basic-auth" \ --data "config....
API网关Kong(三):功能梳理和插件使用-基本使用过程
chichitai7025的博客
11-20 962
作者:李佶澳转载请保留:原文地址发布时间:2018-10-10 14:37:53 +0800 说明 Kong的Admin API Kong定义的资源之间的关联关系 使用过程了解 先了解下插件的作用范围...
微服务Kong(五)——添加一个用户(Consumer)
bangpao4432的博客
03-26 1585
  在本节中,我们将学习如何添加一个用户(consumer)到KONG实例中。用户是与使用您的API的个人相关联,可用于跟踪,访问管理等。   NOTE:本节假设您已经正确启用了密钥验证插件。如果没有,请参考之前的步骤进行正确配置。   1. 创建一个用户:   通过以下命令,来创建一个模拟用户Jason: $ curl -i -X POST \ --url http:...
原创 | 微服务网关 Kong 科普
朱小厮的博客
04-29 2885
点击上方“朱小厮的博客”,选择“设为星标”后台回复"加群",加入新技术群Kong 是由 Mashape 开发的并于2015年开源的一款API 网关,它是基于OpenRes...
Kong安装教程(v1.0.2)
weixin_30491641的博客
02-12 737
使用的软件 Unbuntu 虚拟机(有自己的服务器更好) PostgreSQL kong kong-dashboard docker spring boot 安装 PostgreSQL kong 需要使用到数据库,目前支持PostgreSQL和Cassandran ,我选择大象数据库,安装过程省略,可以参考这篇文章。 Ubuntu PostgreSQL安装和配置 安装...
Kong 实现服务访问控制
baobaoxiannv的博客
10-11 2557
文章目录前提第一步:为服务和路由开启 key-auth 插件第二步:创建消费则添加自定义 key第三步:测试 key-auth 插件是否成功第四步:为服务和路由开启 ACL 插件第四步:消费者加入白名单第四步:测试 ACL + key-auth 前提 你已经正确创建了一个 Kong,并添加了两个服务(本文基于 DB 模式,无 DB 模式可参考本文)。 本文服务的访问控制基于 Kong 插件 key...
tensorflow API:tf.train.Saver 与 NotFoundError: "x_x" not found in checkpoint
NockinOnHeavensDoor的博客
04-26 2531
保存 import所需的模块, 然后建立神经网络当中的 W 和 b, 并初始化变量. import tensorflow as tf import numpy as np ## Save to file # remember to define the same dtype and shape when restore W = tf.Variable([[1,2,3],[3,4,5]], dt...
Kong对用户访问api鉴权
linruby00的博客
03-17 4542
1.发布API POST http://10.74.216.110:8001/apis {   "name":"xxx_share",  //API名称   "request_path":"/share",  //rest请求路径   "strip_request_path": true,  //true:不将request_path添加到upstream_url后面 ...
基于kong + oauth2 + acl的用户访问权限管理
pushiqiang的博客
07-13 9397
需求说明 对admin进行分组管理,不同的用户有访问不同api(服务)的权限,类似django admin的用户组功能 由于认证系统是完全可信的内部系统,简单起见使用密码授权方式 在网关层做接入权限管控,而非后端应用的业务权限 启动kong # 启动kong使用的数据库postgres/cassandra docker run -d --name kong-database \ -...
vSphere 身份验证(VMware vSphere 7.0,VMware ESXi 7.0,vCenter Server 7
最新发布
03-30
vSphere身份验证在VMware vSphere 7.0、VMware ESXi 7.0以及vCenter Server 7.0中扮演着关键角色,确保了系统的安全性和互操作性。这一版本的vSphere提供了多种身份验证管理和证书处理机制,以适应不同的环境需求。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值