AI 助理
备案控制台
文档
产品文档
输入文档关键字查找
首页 API 网关 云原生API网关 操作指南 插件市场 平台插件 认证鉴权 key-auth插件

key-auth插件

更新时间:
一键部署
产品详情
我的收藏

key-auth插件实现了基于API Key进行认证鉴权的功能,支持从HTTP请求的URL参数或者请求头解析API Key,同时验证该API Key是否有权限访问。本文介绍如何配置key-auth插件。

插件类型

认证鉴权。

配置字段

认证配置

名称

数据类型

填写要求

默认值

描述

consumers

array of object

必填

-

配置服务的调用者,用于对请求进行认证。

keys

array of string

必填

-

API Key的来源字段名称,可以是URL参数或者HTTP请求头名称。

in_query

bool

in_queryin_header至少有一个为 true

true

配置为true时,网关会尝试从URL参数中解析API Key。

in_header

bool

in_queryin_header至少有一个为 true

true

配置为true时,网关会尝试从HTTP请求头中解析API Key。

global_auth

array of string

选填(仅实例级别配置)

-

只能在实例级别配置,若配置为true,则全局生效认证机制;若配置为false,则只对做了配置的域名和路由生效认证机制,若不配置则仅当没有域名和路由配置时全局生效(兼容老用户使用习惯)。

子项consumers中每一项的配置字段说明如下。

名称

数据类型

填写要求

默认值

描述

credential

string

必填

-

配置该consumer的访问凭证。

name

string

必填

-

配置该consumer的名称。

鉴权配置(非必需)

名称

数据类型

填写要求

默认值

描述

allow

array of string

选填(非实例级别配置)

-

只能在路由或域名等细粒度规则上配置,对于符合匹配条件的请求,配置允许访问的 consumer,从而实现细粒度的权限控制。

重要

  • 在一个规则里,鉴权配置和认证配置不可同时存在。

  • 对于通过认证鉴权的请求,请求的Header会被添加一个X-Mse-Consumer字段,用以标识调用者的名称。

配置示例

全局配置认证和路由粒度进行鉴权

以下配置将对网关特定路由或域名开启Key Auth认证和鉴权。credential字段不能重复。

在实例级别做如下插件配置:

global_auth: false
consumers:
- credential: 2bda943c-ba2b-11ec-ba07-00163e125***
  name: consumer1
- credential: c8c8e9ca-558e-4a2d-bb62-e700dcc40***
  name: consumer2
keys:
- apikey
- x-api-key

route-aroute-b两个路由做如下插件配置:

allow:
- consumer1

*.example.comtest.com两个域名做如下插件配置:

allow:
- consumer2
说明

  • 此例指定的route-aroute-b即在创建网关路由时填写的路由名称,当匹配到这两个路由时,将允许nameconsumer1的调用者访问,其他调用者不允许访问。

  • 此例指定的*.example.comtest.com用于匹配请求的域名,当发现域名匹配时,将允许nameconsumer2的调用者访问,其他调用者不被允许访问。

根据该配置,下列请求可以允许访问。假设以下请求会匹配到route-a这条路由。

  • 将API Key设置在URL参数中。

    curl  http://xxx.hello.com/test?apikey=2bda943c-ba2b-11ec-ba07-00163e1***

  • 将API Key设置在HTTP请求头中。

    curl  http://xxx.hello.com/test -H 'x-api-key: 2bda943c-ba2b-11ec-ba07-00163e1***'

认证鉴权通过后,请求的Header中会被添加一个X-Mse-Consumer字段,在此例中其值为consumer1,用以标识调用方的名称。

下列请求将拒绝访问。

  • 请求未提供API Key,返回401。

    curl  http://xxx.hello.com/test

  • 请求提供的API Key无权访问,返回401。

    curl  http://xxx.hello.com/test?apikey=926d90ac-ba2e-11ec-ab68-00163e1***

  • 根据请求提供的API Key匹配到的调用者无访问权限,返回403。

    # consumer2不在route-a的allow列表里
curl  http://xxx.hello.com/test?apikey=c8c8e9ca-558e-4a2d-bb62-e700dcc***

网关实例级别开启

以下配置将对网关实例级别开启 Basic Auth 认证,所有请求均需要经过认证后才能访问。

global_auth: true
consumers:
- credential: 2bda943c-ba2b-11ec-ba07-00163e1***
  name: consumer1
- credential: c8c8e9ca-558e-4a2d-bb62-e700dcc***
  name: consumer2
keys:
- apikey
- x-api-key

相关错误码

HTTP状态码

出错信息

原因说明

401

No API key found in request.

请求未提供API Key。

401

Request denied by Key Auth check. Invalid API key.

不允许当前API Key访问。

403

Request denied by Basic Auth check. Unauthorized consumer.

请求的调用方无访问权限。

上一篇:认证鉴权下一篇:basic-auth插件
文档推荐