[Kong] key-auth实现对API请求的密钥认证

目录

• 1. 配置密钥验证插件
• 2. 确认插件配置正确
• 3. 创建cunsumer
• 4. 给cunsumer提供关键凭证
• 5. 验证
• 6. 小结

---

[前言]：

下面我们将配置key-auth插件以向服务添加身份验证。

key-auth为Service设置key，只有带有正确的key才能访问Kong API

• 添加此插件之前， 对服务的所有请求都将在上游代理。
• 添加和配置此插件后，只有具有正确密钥的请求才会被代理，其他未经认证的请求将被Kong拒绝，从而保护您的上游服务免遭未经授权的使用。

1. 配置密钥验证插件

要为您在Kong中配置的service配置key-auth插件，请发出以下CURL请求：

$ curl -i -X POST \
  --url http://localhost:8001/services/example-service/plugins/ \
  --data 'name=key-auth'

注意：此插件还接受一个config.key_names参数，默认为['apikey']。它是应该在请求期间包含apikey的标头和参数名称（均受支持）的列表。

2. 确认插件配置正确

发出以下cURL请求，以验证是否 在服务上正确配置了key-auth插件：

$ curl -i -X GET \
  --url http://localhost:8000/ \
  --header 'Host: example.com'

由于您未指定所需的apikey标头或参数，因此响应应为401 Unauthorized：

HTTP/1.1 401 Unauthorized
...

{
  "message": "No API key found in request"
}

由上我们已经成功配置了key-auth 插件，我们还需要将消费者cunsumer添加到服务中，以便继续通过Kong代理请求。

如果对Cunsumer的概念不清楚，请参考官网 consumer-object

3. 创建cunsumer

让我们创建一个Jason通过发出以下请求命名的用户：

$ curl -i -X POST \
  --url http://localhost:8001/consumers/ \
  --data "username=Jason" \
  --data "custom_id=Jason"

注意：custom_id在创建使用者以将使用者与现有用户数据库相关联时，Kong还接受参数。

4. 给cunsumer提供关键凭证

现在，我们可以Jason通过发出以下请求为最近创建的使用者创建密钥：

$ curl -i -X POST \
  --url http://localhost:8001/consumers/Jason/key-auth/ \
  --data 'key=123456'

5. 验证

现在，我们可以发出以下请求来验证我们的Jason消费者凭证是否有效：

$ curl -i -X GET \
  --url http://localhost:8000 \
  --header "Host: example.com" \
  --header "apikey: 123456"

浏览器

• 不发送consumer认证密钥，401 Unauthorized

• 发送consumer认证密钥

6. 小结

• 插件不仅能作用于 service，也可以作用于route
• 插件默认作用于all comsumers，并根据需求确定是否设置访问凭证

---

[sleepy↓]