『Apisix安全篇』探索Apache APISIX身份认证插件:从基础到实战
🚀『Apisix系列文章』探索新一代微服务体系下的API管理新范式与最佳实践 【点击此跳转】
📣读完这篇文章里你能收获到
- 🛠️ 了解APISIX身份认证的重要性和基本概念,以及如何在微服务架构中实施API安全。
- 🔑 学习如何使用APISIX的Key Authentication插件进行API密钥管理,包括创建消费者和路由。
- 🔄 掌握如何定期轮换API密钥,以及如何为不同消费者分配不同权限范围的密钥。
- 📊 探索如何通过日志记录和监控来增强APISIX的安全性和可审计性。
文章目录
- 一、引言
- 1.1 APISIX身份认证基础
- 1.2 APISIX支持的身份授权插件
- 二、APISIX身份认证核心组件
- 2.1 Consumer
- 2.2 Key Authentication
- 三、身份认证实战
- 3.1 启用 Key Authentication
- 3.1.1 创建消费者
- 3.1.2 创建Routes
- 3.1.3 验证
- 3.2 自定义请求头Header
- 3.3 禁用 Authentication
- 四、最佳实践
一、引言
在现代微服务架构中,API的安全性至关重要。随着业务系统之间的交互越来越频繁,API成为了核心数据和服务的交换通道。Apache APISIX作为一款高性能的云原生API网关,提供了丰富的插件生态以满足各种API治理需求,其中身份认证就是关键的一环。
1.1 APISIX身份认证基础
API 网关主要作用是连接 API 消费者和提供者。出于安全考虑,在访问内部资源之前,应先对消费者进行身份验证和授权。
1.2 APISIX支持的身份授权插件
APISIX 拥有灵活的插件扩展系统,目前有很多可用于用户身份验证和授权的插件。
- Key Authentication
- Basic Authentication
- JSON Web Token (JWT) Authentication
- Keycloak
- Casdoor
- Wolf RBAC
- OpenID Connect
- Central Authentication Service (CAS)
- HMAC
- Casbin
- LDAP
- Open Policy Agent (OPA)
- Forward Authentication
- Multiple Authentications
二、APISIX身份认证核心组件
本文将以Apache APISIX内置的Key-Auth插件为例,详细介绍如何实现API的身份认证。
2.1 Consumer
Consumer(也称之为消费者)是指使用 API 的应用或开发人员。
在 APISIX 中,消费者需要一个全局唯一的 名称,并从上面的列表中选择一个身份验证 插件。
2.2 Key Authentication
Key Authentication(也称之为密钥验证)是一个相对比较简单但是应用广泛的身份验证方法,基于HTTP Header中的API密钥对请求进行验证。每个客户端都拥有一个唯一的API密钥,当客户端发起请求时,必须在请求头中包含此密钥,服务器端的APISIX将会检查并验证该密钥的有效性。
它的设计思路如下:
- 管理员为路由添加一个身份验证密钥(API 密钥)。
- API 消费者在发送请求时,在查询字符串或者请求头中添加密钥。
三、身份认证实战
3.1 启用 Key Authentication
3.1.1 创建消费者
创建一个名为 consumer-key 的消费者,并启用 key-auth 插件,密钥设置为 secret-key。所有携带密钥 secret-key 的请求都会被识别为消费者 consumer-key。
curl -i "http://127.0.0.1:9180/apisix/admin/consumers" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{"username": "consumerkey","plugins": {"key-auth": {"key": "secret-key"}}
}'
3.1.2 创建Routes
创建一个名为routes-key的路由,并启用 key-auth 插件
curl -i "http://127.0.0.1:9180/apisix/admin/routes" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{"id": "routes-key","name": "routes-key","uri": "/ip","upstream": {"type": "roundrobin","nodes": {"httpbin.org:80": 1}},"plugins": {"key-auth": {}}
}'
3.1.3 验证
Key-Auth插件默认的Headers前缀为apikey,如需修改,可继续往下看
我们可以在以下场景中进行验证:
- 发送不带任何密钥的请求
curl -i "http://127.0.0.1:9080/ip"
- 发送携带正确密钥的请求
curl -i "http://127.0.0.1:9080/ip" -H 'apikey: secret-key'
3.2 自定义请求头Header
如果你不想从默认的 apikey header 获取 key,可以自定义 header,如下所示:
{"key-auth": {"header": "Authorization"}
}
接下来基于上面的Routes进行更改
curl -i "http://127.0.0.1:9180/apisix/admin/routes/routes-key" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PATCH -d '
{"plugins": {"key-auth": {"header": "Authorization"}}
}'
发送携带Header为Authorization的请求进行验证
curl -i "http://127.0.0.1:9080/ip" -H 'Authorization: secret-key'
3.3 禁用 Authentication
将参数设置 _meta.disable 为 true,即可禁用密钥验证插件。
curl "http://127.0.0.1:9180/apisix/admin/routes/getting-started-ip" -X PATCH -d '
{"plugins": {"key-auth": {"_meta": {"disable": true}}}
}'
四、最佳实践
- 定期轮换密钥:为了增加安全性,建议定期更换API密钥,避免长期使用同一密钥导致安全风险增大。
- 权限细分:可以为不同消费者分配不同权限范围的密钥,用于访问不同的API资源。
- 监控与日志记录:利用Apache APISIX的日志插件记录相关的认证事件,以便于审计和异常检测。
