『Apisix安全篇』探索Apache APISIX身份认证插件:从基础到实战


🚀『Apisix系列文章』探索新一代微服务体系下的API管理新范式与最佳实践 【点击此跳转】

📣读完这篇文章里你能收获到

  • 🛠️ 了解APISIX身份认证的重要性和基本概念,以及如何在微服务架构中实施API安全。
  • 🔑 学习如何使用APISIX的Key Authentication插件进行API密钥管理,包括创建消费者和路由。
  • 🔄 掌握如何定期轮换API密钥,以及如何为不同消费者分配不同权限范围的密钥。
  • 📊 探索如何通过日志记录和监控来增强APISIX的安全性和可审计性。

文章目录

  • 一、引言
    • [1.1 APISIX身份认证基础](#1.1 APISIX身份认证基础)
    • [1.2 APISIX支持的身份授权插件](#1.2 APISIX支持的身份授权插件)
  • 二、APISIX身份认证核心组件
    • [2.1 Consumer](#2.1 Consumer)
    • [2.2 Key Authentication](#2.2 Key Authentication)
  • 三、身份认证实战
    • [3.1 启用 Key Authentication](#3.1 启用 Key Authentication)
      • [3.1.1 创建消费者](#3.1.1 创建消费者)
      • [3.1.2 创建Routes](#3.1.2 创建Routes)
      • [3.1.3 验证](#3.1.3 验证)
    • [3.2 自定义请求头Header](#3.2 自定义请求头Header)
    • [3.3 禁用 Authentication](#3.3 禁用 Authentication)
  • 四、最佳实践

一、引言

在现代微服务架构中,API的安全性至关重要。随着业务系统之间的交互越来越频繁,API成为了核心数据和服务的交换通道。Apache APISIX作为一款高性能的云原生API网关,提供了丰富的插件生态以满足各种API治理需求,其中身份认证就是关键的一环。

1.1 APISIX身份认证基础

API 网关主要作用是连接 API 消费者和提供者。出于安全考虑,在访问内部资源之前,应先对消费者进行身份验证和授权。

1.2 APISIX支持的身份授权插件

APISIX 拥有灵活的插件扩展系统,目前有很多可用于用户身份验证和授权的插件。

二、APISIX身份认证核心组件

本文将以Apache APISIX内置的Key-Auth插件为例,详细介绍如何实现API的身份认证。

2.1 Consumer

Consumer(也称之为消费者)是指使用 API 的应用或开发人员。

在 APISIX 中,消费者需要一个全局唯一的 名称 ,并从上面的列表中选择一个身份验证 插件

2.2 Key Authentication

Key Authentication(也称之为密钥验证)是一个相对比较简单但是应用广泛的身份验证方法,基于HTTP Header中的API密钥对请求进行验证。每个客户端都拥有一个唯一的API密钥,当客户端发起请求时,必须在请求头中包含此密钥,服务器端的APISIX将会检查并验证该密钥的有效性。

它的设计思路如下:

  1. 管理员为路由添加一个身份验证密钥(API 密钥)。
  2. API 消费者在发送请求时,在查询字符串或者请求头中添加密钥。

三、身份认证实战

3.1 启用 Key Authentication

3.1.1 创建消费者

创建一个名为 consumer-key 的消费者,并启用 key-auth 插件,密钥设置为 secret-key。所有携带密钥 secret-key 的请求都会被识别为消费者 consumer-key。

shell 复制代码
curl -i "http://127.0.0.1:9180/apisix/admin/consumers" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
  "username": "consumerkey",
  "plugins": {
    "key-auth": {
      "key": "secret-key"
    }
  }
}'

3.1.2 创建Routes

创建一个名为routes-key的路由,并启用 key-auth 插件

shell 复制代码
curl -i "http://127.0.0.1:9180/apisix/admin/routes" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
  "id": "routes-key",
  "name": "routes-key",
  "uri": "/ip",
  "upstream": {
    "type": "roundrobin",
    "nodes": {
      "httpbin.org:80": 1
    }
  },
  "plugins": {
    "key-auth": {}
  }
}'

3.1.3 验证

Key-Auth插件默认的Headers前缀为apikey,如需修改,可继续往下看

我们可以在以下场景中进行验证:

  1. 发送不带任何密钥的请求
shell 复制代码
curl -i "http://127.0.0.1:9080/ip"
  1. 发送携带正确密钥的请求
shell 复制代码
curl -i "http://127.0.0.1:9080/ip" -H 'apikey: secret-key'

3.2 自定义请求头Header

如果你不想从默认的 apikey header 获取 key,可以自定义 header,如下所示:

json 复制代码
{
    "key-auth": {
        "header": "Authorization"
    }
}

接下来基于上面的Routes进行更改

shell 复制代码
curl -i "http://127.0.0.1:9180/apisix/admin/routes/routes-key" \
-H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PATCH -d '
{
  "plugins": {
    "key-auth": {
        "header": "Authorization"
    }
  }
}'

发送携带Header为Authorization的请求进行验证

shell 复制代码
curl -i "http://127.0.0.1:9080/ip" -H 'Authorization: secret-key'

3.3 禁用 Authentication

将参数设置 _meta.disable 为 true,即可禁用密钥验证插件。

shell 复制代码
curl "http://127.0.0.1:9180/apisix/admin/routes/getting-started-ip" -X PATCH -d '
{
  "plugins": {
    "key-auth": {
      "_meta": {
        "disable": true
      }
    }
  }
}'

四、最佳实践

  1. 定期轮换密钥:为了增加安全性,建议定期更换API密钥,避免长期使用同一密钥导致安全风险增大。
  2. 权限细分:可以为不同消费者分配不同权限范围的密钥,用于访问不同的API资源。
  3. 监控与日志记录:利用Apache APISIX的日志插件记录相关的认证事件,以便于审计和异常检测。
相关推荐
1-programmer10 天前
apisix lua插件开发记录
lua·apisix
查士丁尼·绵2 个月前
apisix云原生网关
apisix
看不见鲸鱼的鼻子4 个月前
Apisix自定义httpcode 请求重试
网关·nginx·lua·apisix
VinciYan6 个月前
Apache APISIX遇到504超时的解决办法
网络·网关·微服务·apache·apisix·开源网关
VinciYan6 个月前
开源网关Apache APISIX启用JWT身份验证
docker·微服务·apache·jwt·apisix·开源网关
VinciYan7 个月前
Ubuntu部署开源网关Apache APISIX
ubuntu·docker·微服务·apache·apisix·开源网关
NPE~7 个月前
深入理解K8S【安全认证机制&kubectlconfig】
安全·容器·kubernetes·安全认证·kubectlconfig
Amd7947 个月前
Django RESTful API设计与实践指南
性能优化·版本控制·实战项目·安全认证·部署策略·api 设计·django rest
老陈聊架构9 个月前
『Apisix安全篇』APISIX 加密传输实践:SSL/TLS证书的配置与管理实战指南
安全·证书·ssl·apisix