客户端访问上游API服务,通常由Kong的认证插件及其配置参数来控制。

通用认证

一般情况下,上游API服务都需要客户端有身份认证,且不允许错误的认证或无认证的请求通过。认证插件可以实现这一需求。这些插件的通用方案/流程如下:

1、向一个API或全局添加AUTH插件(此插件不作用于consumers);

2、创建一个consumer对象;

3、为consumer提供指定的验证插件方案的身份验证凭据;

4、现在,只要有请求进入Kong,都将检查其提供的身份验证凭据(取决于auth类型),如果该请求无法被验证或者验证失败,则请求会被锁定,不执行向上有服务转发的操作。

但是,上述的一般流程并不是总是有效的。譬如,当使用了外部验证方案(比如LDAP)时,KONG就不会(不需要)对consumer进行身份验证。

Consumers

最简单的理解和配置consumer的方式是,将其于用户进行一一映射,即一个consumer代表一个用户(或应用)。但是对于KONG而言,这些都无所谓。consumer的核心原则是你可以为其添加插件,从而自定义他的请求行为。所以,或许你会有一个手机APP应用,并为他的每个版本都定义一个consumer,又或者你又一个应用或几个应用,并为这些应用定义统一个consumer,这些都无所谓。这是一个模糊的概念,他叫做consumer,而不是user!万万要区分开来,且不可混淆。

匿名验证

1、创建Service

  1. $ curl -i -X POST \
  2.   --url http://localhost:8001/services/ \
  3.   --data 'name=example-service' \
  4.   --data 'url=http://mockbin.org/request'

2、创建Route

  1. $ curl -i -X POST \
  2.   --url http://localhost:8001/services/example-service/routes \
  3.   --data 'paths[]=/auth-sample'

3、然后访问:http://localhost:8000/auth-sample,就可以转发到 http://mockbin.org/request

4、给Service配置一个key-auth(关键词认证)插件

  1. $ curl -i -X POST \
  2.   --url http://localhost:8001/services/example-service/plugins/ \
  3.   --data 'name=key-auth'

获得一个plugin_id:7bead48d-53e5-4244-b82c-1af7249af964

5、这是再访问一下 http://localhost:8000/auth-sample 返回:

  1. {
  2.   "message": "No API key found in request"
  3. }

6、添加一个匿名消费者

  1. $ curl -i -X POST \
  2.   --url http://localhost:8001/consumers/ \
  3.   --data "username=anonymous_users"

获得consumer_id:69855c08-2625-415f-b11e-188436c0ec6a

7、关联匿名消费者与key-auth插件

  1. $ curl -i -X PATCH \
  2.   --url http://localhost:8001/plugins/7bead48d-53e5-4244-b82c-1af7249af964 \
  3.   --data "config.anonymous=69855c08-2625-415f-b11e-188436c0ec6a"

当然,关联之后就可以访问了,这样没什么意义。所以,一般会添加认证关键字进行认证。

  1. $ curl -X POST http://localhost:8001/consumers/anonymous_users/key-auth -d 'key=test'

8、然后,就正常访问 http://192.168.1.12:8000/auth-sample?apikey=test

  1. ...
  2. "headers": {
  3.   ...
  4.   "x-consumer-id": "69855c08-2625-415f-b11e-188436c0ec6a",
  5.   "x-consumer-username": "anonymous_users",
  6.   ...
  7. }
  8. ...

多重身份验证

Kong支持多种验证插件,允许不同的客户端使用不同的认证方法来访问给定的服务或路由。在评估多个身份验证凭据时,可以将验证插件的行为设置为逻辑AND或逻辑OR。该行为的关键是配置config.anonymous属性。

  • config.anonymous 默认为未设置。如果此属性未设置(空),则auth插件将始终执行身份验证,并返回40x响应(如果未验证)。当调用多个验证插件时,会导致逻辑AND。
  • config.anonymous 设置为有效的consumer ID。在这种情况下,auth插件只有在尚未认证的情况下才会执行身份验证。当身份验证失败时,它不会返回40x响应,而是将匿名consumer设置为consumer。当调用多个验证插件时,会使用OR+匿名。

备注1:所有的或任何一个验证插件都可配置为可使匿名访问的。但是,如果要混合使用验证插件,则对于匿名访问的配置就需要进行甄选,否则会出现混乱。

备注2:如果使用AND逻辑,则最后一个执行的验证插件将是把验证信息传递给上游服务的那个。当使用OR逻辑时,传递给上游服务验证信息的那个插件,将会是第一个成功验证consumer的那个插件,或者是最后一个配置了匿名访问权限的那个插件。

ps:如果对API使用多个验证插件,且插件间的逻辑配置为OR的话,最好不要为每个插件开启匿名访问,这样才能保证最终能成功请求的consumer是预期的那个。否则会有不可预期的结果出现。