kong笔记——kong的权限认证插件选择参考

已于 2022-02-25 16:13:31 修改
阅读量2.6k 收藏 4
点赞数 1
分类专栏: kong 文章标签: kong
于 2022-02-25 16:09:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz18435842675/article/details/123135369
版权

kong笔记——目录导航

kong自身共提供了这么几个权限认证插件:

  1. basic auth;
  2. key auth;
  3. hmac auth;
  4. jwt auth;
  5. oauth2 auth

接下来来逐个介绍其特点以及使用场景,性能表现。

Basic auth

基本介绍

基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和密码会通过HTTP头传递。

在发送之前是以用户名追加一个冒号然后串接上密码,并将得出的结果字符串再用Base64算法编码。

eg:

提供的用户名是:admin

口令是:123456

拼接后的结果是:admin:123456,然后再将其用Base64编码的字符串为:YWRtaW46MTIzNDU2

最终将Base64编码的字符串追到到header中发送出去,由接收者解码得到一个由冒号分隔的用户名和口令的字符串

服务端:

curl -i -X GET \ --url http://localhost:8000/request/ \

–header “Host: example.com” \

–header ‘Authorization: Basic YWRtaW46MTIzNDU2’

浏览器:

kong_20191226150001.png

优缺点

优点

简单,被广泛支持

缺点

不安全

  1. 用户HTTP是在网络上裸奔的,所以这个基本认证的用户名和密码也是可以被人看到的,虽然它使用了Base64来编码,但这个编码很容易就可以解码出来;
  2. 即使这个认证内容不能被解码为原始的用户名和密码也是不安全的,恶意用户可以再获取了认证内容后使用其不断的享服务器发起请求,这就是所谓的重放攻击;
  3. 中间人可以修改报文然后请求服务器。

使用场景

  1. 内部网络,或者对安全要求不是很高的网络;

  2. 结合HTTPS一起使用,https保证网络的安全性,然后基本认证来做客户端身份识别;

    在结合了HTTPS后,Basic Authentication 可以说还是有一定的市场的,但是其重要性正在降低。因为合适的使用场景太少。我们可以想象一下:如果服务器是允许匿名用户访问的,那你就没有必要认证。如果服务器是不允许匿名访问的,那么需要用户注册,就会使用用户凭证认证,也不需要基本认证。只有那种只需要一个特定密码就可以访问的场景,例如加了提取码的网盘资源。

性能压测

前提条件:不走kong代理,双pod节点(每个节点参数是2核2G),200并发,响应超时时间3s,配置自定义插件生成广告自定义日志

以上条件目前压测的qps为13,579.93;

  1. 添加完 basic auth 权限之后,qps为:11999.25 性能下降约为:11%

  2. 在以上基础上添加授权插件后,qps为11,258.77,性能约下降约17%;

key auth

基本介绍

同Basic auth;区别是用户名密码的形式变成了密钥形式,每次验证密钥,通过就可以访问了;

验证有两种方式:

服务端:

$ curl -i -X GET \
  --url http://localhost:8000/auth \
  --header "Host: example.com" \
  --header "apikey: toutiao"

浏览器:

image-20220222114133384.png

优缺点

优点

同Basic auth

缺点

同Basic auth

使用场景

更适用于面向开发人员,拿到密匙后可以调用第三方的api了

性能压测

前提条件:不走kong代理,双pod节点(每个节点参数是2核2G),200并发,响应超时时间3s,配置自定义插件生成广告自定义日志

以上条件目前压测的qps为13,579.93;

  1. 添加完 key auth 权限之后,qps为:11998.5 性能下降约为:11%

  2. 在以上基础上添加授权插件后,qps为11,842.95,性能约下降约12%;

hmac

基本介绍

HMAC技术,这个东西来自于MAC – Message Authentication Code,是一种用于给消息签名的技术,也就是说,我们怕消息在传递的过程中被人修改,所以,我们需要用对消息进行一个MAC算法,得到一个摘要字串,然后,接收方得到消息后,进行同样的计算,然后比较这个MAC字符串,如果一致,则表明没有被修改过(整个过程参看下图)。而HMAC – Hash-based Authenticsation Code,指的是利用Hash技术完成这一工作,比如:SHA-256算法。

  1. 客户端需要在认证服务器中预先设置 access key(AK 或叫 app ID) 和 secure key(SK)
  2. 在调用 API 时,客户端需要对参数和 access key 进行自然排序后并使用 secure key 进行签名生成一个额外的参数 digest
  3. 服务器根据预先设置的 secure key 进行同样的摘要计算,并要求结果完全一致
  4. 注意 secure key 不能在网络中传输,以及在不受信任的位置存放(浏览器等)

优缺点

优点

安全,可以防止重放攻击

缺点

没有统一的标准,各家实现不一致

使用场景

微信的签名算法(这里,我们需要说明一下,微信的API没有遵循HTTP协议的标准,把认证信息放在HTTP 头的 Authorization 里,而是放在body里)

api间互相调用的认证

性能压测

前提条件:不走kong代理,双pod节点(每个节点参数是2核2G),200并发,响应超时时间3s,配置自定义插件生成广告自定义日志

以上条件目前压测的qps为13,579.93;

  1. 添加完 hmac auth 权限之后,qps为:10,758.67 性能下降约为:20%

  2. 在以上基础上添加授权插件后,qps为: 10,097.97,性能约下降约:24%;

Jwt

基本介绍

JWT是一个比较标准的认证解决方案,这个技术在Java圈里应该用的是非常普遍的。JWT签名也是一种MAC(Message Authentication Code)的方法。JWT的签名流程一般是下面这个样子:

  1. 用户使用用户名和口令到认证服务器上请求认证。
  2. 认证服务器验证用户名和口令后,以服务器端生成JWT Token,这个token的生成过程如下:
    • 认证服务器还会生成一个 Secret Key(密钥)
    • 对JWT Header和 JWT Payload分别求Base64。在Payload可能包括了用户的抽象ID和的过期时间。
    • 用密钥对JWT签名 HMAC-SHA256(SecertKey, Base64UrlEncode(JWT-Header)+’.’+Base64UrlEncode(JWT-Payload));
  3. 然后把 base64(header).base64(payload).signature 作为 JWT token返回客户端。
  4. 客户端使用JWT Token向应用服务器发送相关的请求。这个JWT Token就像一个临时用户权证一样。

当应用服务器收到请求后:

  1. 应用服务会检查 JWT Token,确认签名是正确的。
  2. 然而,因为只有认证服务器有这个用户的Secret Key(密钥),所以,应用服务器得把JWT Token传给认证服务器。
  3. 认证服务器通过JWT Payload 解出用户的抽象ID,然后通过抽象ID查到登录时生成的Secret Key,然后再来检查一下签名。
  4. 认证服务器检查通过后,应用服务就可以认为这是合法请求了。

优缺点

优点

1.体积小,因而传输速度快
2.传输方式多样,可以通过URL/POST参数/HTTP头部等方式传输
3.严格的结构化。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。
4.支持跨域验证,可以应用于单点登录。

缺点

1.Token有长度限制
2.Token不能撤销

使用场景

JWT的主要优势在于使用无状态、可扩展的方式处理应用中的用户会话。服务端可以通过内嵌的声明信息,很容易地获取用户的会话信息,而不需要去访问用户或会话的数据库。在一个分布式的面向服务的框架中,这一点非常有用。

性能压测

前提条件:不走kong代理,双pod节点(每个节点参数是2核2G),200并发,响应超时时间3s,配置自定义插件生成广告自定义日志

以上条件目前压测的qps为13,579.93;

  1. 添加完 jwt 权限之后,qps为:10,495.57 性能下降约为:22%

  2. 在以上基础上添加授权插件后,qps为: 10,267.17,性能约下降约24%;

Oauth 2.0

基本介绍

上面的这些API认证都是要向Client发一个密钥(或是用密码)然后用HASH或是RSA来签HTTP的请求,这其中有个主要的原因是,以前的HTTP是明文传输,所以,在传输过程中很容易被篡改,于是才搞出来一套的安全签名机制,这些认证的玩法是可以在HTTP明文协议下玩的。

这种使用签名方式大家可以看到是比较复杂的,所以,对于开发者来说,也是很不友好的,在组织签名的那些HTTP报文的时候,各种,URLEncode和Base64,还要对Query的参数进行排序,然后有的方法还要层层签名,非常容易出错,另外,这种认证的安全粒度比较粗,授权也比较单一,对于有终端用户参与的移动端来说也有点不够。所以,在2012年的时候,OAuth 2.0 的 RFC 6749 正式放出。

OAuth 2.0依赖于TLS/SSL的链路加密技术(HTTPS),完全放弃了签名的方式,认证服务器再也不返回什么 secret 的密钥了,所以,OAuth 2.0是完全不同于1.0 的,也是不兼容的

理解OAuth 2.0 - 阮一峰的网络日志

OAuth 2.0 的四种方式 - 阮一峰的网络日志

优缺点

优点
  1. 实施代码量小;
  2. 维护工作减少;
  3. 可以比较方便的接入第三方登录;
  4. Facebook 的 Graph API 只支持OAuth 2.0协议,Google 和 Microsoft Azure 也支持Auth 2.0,国内的微信和支付宝,微博等也支持使用OAuth 2.0;
  5. 更细粒度的权限验证。
缺点
  1. 只能在https下使用;
  2. OAuth2是一个安全框架,描述了在各种不同场景下,多个应用之间的授权问题。有海量的资料需要学习,要完全理解需要花费大量时间;
  3. OAuth2不是一个严格的标准协议,因此在实施过程中更容易出错。

使用场景

第三方授权登录

性能压测

目前由于没有https环境,没法测试

参考文献

常用的认证&授权方法以及在kong上的实践

JWT和HMAC(AK/SK)认证方式使用场景

Zz罗伯特
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kong社区版集成Keycloak实现微服务认证与鉴权
锐意工作室
07-22 3181
文章目录Kong社区版集成Keycloak实现微服务认证与鉴权前言认证和鉴权流程在Keycloak上配置创建Realm创建Client创建Role创建User服务环境准备受保护的端点的服务首页服务在Kong上配置新建服务添加路由添加CORS插件添加JWT插件创建Consumer配置Consumer的JWT credentials测试成功测试角色小结参考文档 Kong社区版集成Keycloak实现微服务认证与鉴权 前言 Kong企业版有OpenID Connect插件可以很方便地和Keycloak集成。 是K
基于kong + oauth2 + acl的用户访问权限管理
pushiqiang的博客
07-13 9461
需求说明 对admin进行分组管理,不同的用户有访问不同api(服务)的权限,类似django admin的用户组功能 由于认证系统是完全可信的内部系统,简单起见使用密码授权方式 在网关层做接入权限管控,而非后端应用的业务权限 启动kong # 启动kong使用的数据库postgres/cassandra docker run -d --name kong-database \ -...
Kong JWT鉴权
A1L__的博客
07-14 622
​ 最简单的理解和配置consumer的方式是,将其于用户进行一一映射,即一个consumer代表一个用户(或应用).但是对于KONG而言,这些都无所谓. Consumer的核心原则是您可以为其添加插件,从而自定义他的请求行为. 所以,或许您会有一个手机APP应用,并为他的每个版本都定义一个consumer, 又或者您有一个应用或几个应用,并为这些应用定义统一个consumer,这些都无所谓.
Kong网关身份认证
最新发布
mrcool2012的博客
05-29 1120
启用basic-auth的插件:注意不能直接全局开启,需要在services上或者 routes上开启。HEADER:base64(json ). base64(payload). 下面的代码块。"user2:123456" 转换成 base64:dXNlcjI6MTIzNDU2。生成认证信息:网址:https://jwt.io/#debugger-io。请求的时候,带上 凭证,前提需要做base64的转换。删除插件:(注意:最后是 插件的ID,不是名称)给用户分配认证信息(扩展:账号密码 等)。
kong网关启用jwt认证插件
zhangshenglu1的博客
05-30 947
认证流程:1、创建一个用户2、生成jwt的所需要的key和密钥3、在https://jwt.io/的生成jwt token4、启用jwt插件5、发送请求的时候携带jwt的token信息官方指导:https://docs.konghq.com/hub/kong-inc/jwt/configuration/examples/
kong网关添加key-auth插件实现安全认证
zhangshenglu1的博客
05-30 1066
官方指导文档:https://docs.konghq.com/gateway/latest/get-started/key-authentication/
kong(6):身份认证
u013938578的博客
04-26 723
业务服务器根据 kong 生成的 jwt 凭证中的 algorithm、key(iss)、secret 进行 token 的演算和下发。测试可以在https://jwt.io/中通过Debugger生成jwt token。可以指定算法 algorithm , iss 签发者 key ,密钥 secret ,也可以省略,会自动生成。name 参数,设置为 jwt 表示使用 JWT 插件。通过konga UI操作添加 jwt 插件。创建用户并添加Basic凭证。请求被kong安全拦截。查看fox的jwt凭证。
基于Python实现kong的AKSK加密
test_bied的博客
07-21 239
将base64字节转化字符串,并去掉b 和 单引号。# 加密前 将要加密的header参数 拼接成字符串。# 将加密后的字符串转化为base64 字节。# 组装 Authorization。# 使用 hmac 加密。
kong-js-pdk:用于 Javascript 和插件服务器的 Kong PDK
08-04
插件服务器和 PDK(插件开发工具包)用于 Kong 中的 Javascript 语言支持。 需要 Kong >= 2.3.0。 文档 请参阅。 去做 更好的用户空间 API 设计(没有 async/await?) 每个插件的专用服务器 用打字稿重写
kong网关学习资料PDF
04-24
1、docker安装kong,konga 2、Kong 基础认证插件(Basic auth) 3、Kong插件Key Authentication 4、Kong插件[IP Restriction]使用【黑白名单】 5、kong网关
kong-oauth2-demo:这是一个与Kong OAuth2插件一起使用的简单演示
03-07
kong-oauth2-demo 这是一个与Kong oauth2插件一起使用的简单演示,显示了4种不同的授权流程我还在fomm/kong-oauth2-demo制作了一个fomm/kong-oauth2-demo镜像您可以使用docker run -d -p 8080:80 fomm/kong-oauth2-...
kong-plugin-zipkin:Kong插件可模拟实际上无法直接检测的客户端和_或服务器
05-14
Kong Zipkin插件这是 API网关的插件,可与分布式跟踪系统集成。 它可以对无法直接检测一端或两端的系统之间的连接进行一定程度的Zipkin检测。 作者尚未在生产部署中使用此代码-您应在部署之前验证它是否对您有用。...
kong3.4.0kong3.4.0kong3.4.0
05-07
kong3.4.0
常见的鉴权方式简述
tangsiqi130的博客
05-23 5650
简述常见的鉴权方式
Kong 集成 Jwt 插件
罗伯特是疯子丶
02-22 744
Kong 集成 Jwt 插件 上一篇文章使用 Kong 完成了负载均衡的配置,本文介绍下在此基础上如何集成 jwt 插件来保护内部服务的安全。前置知识点:Jwt 基础概念。推荐阅读: 通俗易懂地介绍 Jwt https://blog.leapoahead.com/2015/09/06/understanding-jwt/ Jwt 的官网 https://jwt.io/ 为 Kong 安装 Jwt 插件 Kong 官方提供了 Jwt 插件,可以对 某个 service 或者 route 添加 Jwt 认证,我
Kong网关中使用JWT认证
锐意工作室
07-20 3382
文章目录在Kong网关中使用JWT认证前言JWT认证添加JWT插件生成Consumer的JWT credentials测试JWT认证的其他用法参考文档 在Kong网关中使用JWT认证 前言 在Kong网关快速入门指南 一文中介绍了Basic认证和HMAC认证方式,本文介绍在Kong网关中使用JWT认证。 JWT认证 添加JWT插件 在Service下添加JWT插件,全部保持默认值。 查看插件详情: uri param names: `jwt` key claim name: `iss` secret is
网关进行jwt鉴权
FourZeroZero's home
04-12 2742
前端接口都进过网关,然后通过网关进行分发。所以在网关中鉴权,就可以把没有需要登录的请求在网关层进行拦截。 redis进行存储token和jwt实现token两种方案的对比 去中心化的JWT实现oken 优点: 去中心化,便于分布式系统使用 基本信息可以直接放在token中。 username,nickname,role 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限 缺点:服务端无法主动让token失效 中心化的 redis token / memory session
Kong Gateway - 07 基于网关服务的JWT验证
lc的大脑备份
05-10 716
本文转载自https://blog.csdn.net/zhengzizhi/article/details/80244091
kong jwt插件
09-23
Kong JWT插件是一种用于支持JWT认证和授权的插件。要在Kong中为指定的微服务增加JWT认证,需要配置一个service,并给这个service增加一个router。然后,给这个router增加JWT插件。在验证JWT时,默认的key claim name是JWT的iss claim。需要在consumer中设置iss的key,否则会出现"No credentials found for given 'iss'"错误。开发者可以在jwt.io上生成一个JWT并查看iss的值,然后将这个值设置到consumer的key中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值