1. 首页 > 百货 > 家电数码

聊聊APISIX Ingress 认证使用

身份认证在日常生活当中是非常常见的一项功能,大家平时基本都会接触到,Apache APISIX 作为一个 API网关,目前已开启与各种插件功能的适配合作,插件库也比较丰富,目前已经可与大量身份认证相关的插件进行搭配处理,如下图所示。

基础认证插件比如 Key-Auth、Basic-Auth,他们是通过账号密码的方式进行认证。复杂一些的认证插件如 Hmac-Auth、JWT-Auth,如Hmac-Auth 通过对请求信息做一些加密,生成一个签名,当 API 调用方将这个签名携带到 APISIX,APISIX会以相同的算法计算签名,只有当签名方和应用调用方认证相同时才予以通过。其他则是一些通用认证协议和联合第三方组件进行合作的认证协议,例如OpenID-Connect 身份认证机制,以及 LDAP 认证等。

APISIX 还可以针对每一个 Consumer (即调用方应用)去做不同级别的插件配置。如下图所示,我们创建了两个消费者 ConsumerA、Consumer B,我们将 Consumer A 应用到应用1,则后续应用1的访问将会开启 Consumer A 的这部分插件,例如 IP黑白名单,限制并发数量等。将 Consumer B 应用到应用2 ,由于开启了 http-log 插件,则应用2的访问日志将会通过 HTTP的方式发送到日志系统进行收集。

basic-auth

首先我们来了解下最简单的基本认证在 APISIX 中是如何使用的。basic-auth 是一个认证插件,它需要与 Consumer一起配合才能工作。添加 Basic Auth 到一个 Service 或 Route,然后 Consumer将其用户名和密码添加到请求头中以验证其请求。

首先我们需要在 APISIX Consumer 消费者中增加 basic auth 认证配置,为其指定用户名和密码,我们这里在 APISIXIngress 中,可以通过 ApisixConsumer 资源对象进行配置,比如这里我们为前面的 nexus 实例应用添加一个基本认证,如下所示:

# nexus-basic-auth.yamlapiVersion: apisix.apache.org/v2alpha1kind: ApisixConsumermetadata:name: nexusBauthspec:authParameter:basicAuth:value:username: adminpassword: admin321

ApisixConsumer 资源对象中只需要配置 authParameter 认证参数即可,目前只支持 BasicAuth 与 KeyAuth两种认证类型,在 basicAuth 下面可以通过 value 可直接去配置相关的 username 和 password,也可以直接使用 Secret资源对象进行配置,比起明文配置会更安全一些。

然后在 ApisixRoute 中添加 authentication,将其开启并指定认证类型即可,就可以实现使用 Consumer去完成相关配置认证,如下所示:

apiVersion: apisix.apache.org/v2beta2kind: ApisixRoutemetadata:name: nexusnamespace: defaultspec:http:- name: rootmatch:hosts:- ops.qikqiak.compaths:- "/nexus*"- "/static/*"- "/service/*"plugins:- name: proxy-rewriteenable: trueconfig:regex_uri: ["^/nexus(/|$)(.*)", "/$2"]- name: redirectenable: trueconfig:regex_uri: ["^(/nexus)$", "$1/"]- name: redirectenable: trueconfig:http_to_https: truebackends:- serviceName: nexusservicePort: 8081authentication:# 开启 basic auth 认证enable: truetype: basicAuth

直接更新上面的资源即可开启 basic auth 认证了,在 Dashboard 上也可以看到创建了一个 Consumer:

然后我们可以进行如下的测试来进行验证:

# 缺少 Authorization header➜ curl -i401 UnauthorizedDate: Tue, 11 Jan 2022 07:44:49 GMTContent-Type: text/plain; charset=utf-8Transfer-Encoding: chunkedConnection: keep-aliveWWW-Authenticate: Basic realm='.'Server: APISIX/2.10.0{"message":"Missing authorization in request"}# 用户名不存在➜ curl -i -ubar:bar401 UnauthorizedDate: Tue, 11 Jan 2022 07:45:07 GMTContent-Type: text/plain; charset=utf-8Transfer-Encoding: chunkedConnection: keep-aliveServer: APISIX/2.10.0{"message":"Invalid user key in authorization"}# 成功请求➜ curl -uadmin:admin321Moved Permanently</title></head><body><center><h1>301 Moved Permanently</h1></center><hr><center>openresty</center></body></html>

consumer-restriction

不过这里大家可能会有一个疑问,在 Route 上面我们并没有去指定具体的一个 Consumer,然后就可以进行Basic Auth 认证了,那如果我们有多个 Consumer 都定义了 Basic Auth 岂不是都会生效的?确实是这样的,这就是 APISIX的实现方式,所有的 Consumer 对启用对应插件的 Route 都会生效的,如果我们只想 Consumer A 应用在 Route A、Consumer B应用在 Route B 上面的话呢?要实现这个功能就需要用到另外一个插件:consumer-restriction。

consumer-restriction 插件可以根据选择的不同对象做相应的访问限制,该插件可配置的属性如下表所示:

其中的 type 字段是个枚举类型,它可以是 consumer_name 或 service_id,分别代表以下含义:

比如现在我们有两个 Consumer:jack1 和 jack2,这两个 Consumer 都配置了 Basic Auth 认证,配置如下所示:

Conumer jack1 的认证配置:

➜ curl-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -i -d '{"username": "jack1","plugins": {"basic-auth": {"username":"jack2019","password": "123456"}}}'

Conumer jack2 的认证配置:

➜ curl-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -i -d '{"username": "jack2","plugins": {"basic-auth": {"username":"jack2020","password": "123456"}}}'

现在我们只想给一个 Route 路由对象启用 jack1 这个 Consumer 的认证配置,则除了启用 basic-auth 插件之外,还需要在consumer-restriction 插件中配置一个 whitelist 白名单(当然配置黑名单也是可以的),如下所示:

➜ curl-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '{"uri": "/index.html","upstream": {"type": "roundrobin","nodes": {"127.0.0.1:1980": 1}},"plugins": {"basic-auth": {},"consumer-restriction": {"whitelist": ["jack1"]}}}'

然后我们使用 jack1 去访问我们的路由进行验证:

➜ curl -u jack2019:123456-iHTTP/1.1 200 OK...

正常使用 jack2 访问就会认证失败了:

➜ curl -u jack2020:123456-iHTTP/1.1 403 Forbidden...{"message":"The consumer_name is forbidden."}

所以当你只想让一个 Route 对象关联指定的 Consumer 的时候,记得使用 consumer-restriction 插件。

在平时的应用中可能使用 jwt 认证的场景是最多的,同样在 APISIX 中也有提供 jwt-auth 的插件,它同样需要与Consumer 一起配合才能工作,我们只需要添加 JWT Auth 到一个 Service 或 Route,然后 Consumer将其密钥添加到查询字符串参数、请求头或 cookie 中以验证其请求即可。

由于目前 ApisixConsumer 还不支持 jwt-auth 配置,所以需要我们去 APISIX 手动创建一个 Consumer,可以通过APISIX 的 API 进行创建,当然也可以直接通过 Dashboard 页面操作。在 Dashboard 消费者页面点击创建消费者:

点击下一步进入插件配置页面,这里我们需要启用 jwt-auth 这个插件:

在插件配置页面配置 jwt-auth 相关属性,可参考插件文档

可配置的属性如下表所示:

然后提交即可创建完成 Consumer,然后我们只需要在需要的 Service 或者 Route 上开启 jwt-auth 即可,比如同样还是针对上面的nexus 应用,我们只需要在 ApisixRoute 对象中启用一个 jwt-auth 插件即可:

apiVersion: apisix.apache.org/v2beta2kind: ApisixRoutemetadata:name: nexusnamespace: defaultspec:http:- name: rootmatch:hosts:- ops.qikqiak.compaths:- "/nexus*"- "/static/*"- "/service/*"plugins:- name: jwt-authenable: true- name: redirectenable: trueconfig:http_to_https: true- name: redirectenable: trueconfig:regex_uri: ["^(/nexus)$", "$1/"]- name: proxy-rewriteenable: trueconfig:regex_uri: ["^/nexus(/|$)(.*)", "/$2"]backends:- serviceName: nexusservicePort: 8081

需要注意的是 authentication 属性也不支持 jwt-auth,所以这里我们通过 plugins进行启用,重新更新上面的对象后我们同样来测试验证下:

➜ curl -i401 UnauthorizedDate: Tue, 11 Jan 2022 08:54:30 GMTContent-Type: text/plain; charset=utf-8Transfer-Encoding: chunkedConnection: keep-aliveServer: APISIX/2.10.0{"message":"Missing JWT token in request"}

要正常访问我们的服务就需要先进行登录获取 jwt-auth 的 token,通过 APISIX 的 apisix/plugin/jwt/sign可以获取:

➜ curl -i200 OKDate: Tue, 11 Jan 2022 09:01:29 GMTContent-Type: text/plain; charset=utf-8Transfer-Encoding: chunkedConnection: keep-aliveServer: APISIX/2.10.0eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY0MTk3ODA4OX0.rdzMxM4QAKI444c3SC3u3ZqfW9rKnsqrdorLHCGqrQg

要注意上面我们在获取 token 的时候需要传递创建消费者的标识 key,因为可能有多个不同的 Consumer 消费者,然后我们将上面获得的 token放入到 Header 头中进行访问:

➜ curl -i-H 'Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY0MTk3ODA4OX0.rdzMxM4QAKI444c3SC3u3ZqfW9rKnsqrdorLHCGqrQg'HTTP/1.1 200 OKContent-Type: text/html; charset=utf-8Content-Length: 8802Connection: keep-alive......Expires: 0Server: APISIX/2.10.0<!DOCTYPE html><html lang="en">......

可以看到可以正常访问。同样也可以放到请求参数中验证:

➜ curl -i200 OK......

此外还可以放到 cookie 中进行验证:

➜ curl -i--cookie jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY0MTk3ODA4OX0.rdzMxM4QAKI444c3SC3u3ZqfW9rKnsqrdorLHCGqrQgHTTP/1.1 200 OK......

本网站的文章部分内容可能来源于网络和网友发布,仅供大家学习与参考,如有侵权,请联系站长进行删除处理,不代表本网站立场,转载者并注明出处:https://www.jmbhsh.com/jiadianshuma/33668.html

联系我们

QQ号:***

微信号:***

工作日:9:30-18:30,节假日休息