新版本插件解读|如何借助 Forward Auth 增强认证能力
Forward Auth 能巧妙地将认证与授权逻辑转移至专门的外部服务中,网关会将用户的请求转发至认证服务中,并在认证服务响应非 20x 状态时,阻止原有请求并替换结果。通过这样的方式,就可以实现认证未通过时,返回自定义报错或用户重定向至认证页面。
本文将介绍 Apache APISIX 2.12.0 版本中新增插件 forward-auth
的使用方法,为大家简单说明下如何使用这款设计简洁的认证模型。
原理
关于 forward-auth
插件在 Apache APISIX 中的运行原理与流程如上图所示,具体总结为以下几步:
第一步:由客户端向 APISIX 发起请求
第二步:由 APISIX 向用户配置的认证服务发起请求
第三步:认证服务响应(2xx 或异常状态)
第四步:APISIX 会根据认证服务响应,决定向上游转发请求或直接****向客户端发送拒绝响应
如何使用
步骤一:设置认证服务
假设有这样一项认证服务,用户向其发送带有 Authorization 请求头的请求。如果这个数据通过验证则返回 200 状态码和一个名为X-User-ID
的响应头;如果没有通过验证则认为认证状态过期,返回 302 状态码和Location
响应头将客户端重定向至登录页面。
步骤二:创建路由并开启 forward-auth
插件
接下来,我们将配置一个路由并开启 forward-auth
插件,将上述的认证服务和上游应用对接起来。
上述配置细节释义:
当有请求匹配到当前路由时,发送一个请求至
address
中的地址,其中将附带request_headers
中定义的请求头Authorization
(即配置需要由客户端转发至认证服务的请求头,如果不设置则不转发任何请求头),认证服务可以据此进行用户身份确认。如果认证通过,状态码为 200 并返回一个
upstream_headers
中定义的X-User-ID
(即认证通过时由认证服务转发至上游的请求头,如果不设置则不转发任何请求头)。如果认证失败,状态码为 302 并返回一个在
client_headers
中定义的Location
(即认证失败时由认证服务向客户端发送的响应头,如果不设置则不转发任何响应头)。
步骤三:测试请求
补充:关闭插件
如已使用完毕,只需移除路由配置中forward-auth
插件相关配置并保存,即可关闭路由上的 Forward Auth 插件。得益于 Apache APISIX 的动态化特性,开启关闭插件的过程都不需要重启 Apache APISIX。
总结
想要获取更多关于forward-auth
插件说明和完整配置列表,可参考:https://apisix.apache.org/docs/apisix/next/plugins/forward-auth。
关于 Apache APISIX
Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。
Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。目前已被普华永道数据安全团队、腾讯蓝军、平安银河实验室、爱奇艺 SRC 和源堡科技安全团队等专业网络安全机构测试,并给予了高度认可。
Apache APISIX 落地用户(仅部分)
Apache APISIX GitHub:https://github.com/apache/apisix
Apache APISIX 官网:https://apisix.apache.org/
Apache APISIX 文档:https://apisix.apache.org/zh/docs/apisix/getting-started
评论