乐趣区

关于apisix:Apache-APISIX-结合-Authing-实现集中式身份认证管理

我的项目介绍

对于 Apache APISIX

Apache APISIX 是一个动静、实时、高性能的 API 网关,提供负载平衡、动静上游、灰度公布、服务熔断、身份认证、可观测性等丰盛的流量治理性能。Apache APISIX 不仅反对插件动静变更和热插拔,而且领有泛滥实用的插件。Apache APISIX 的 OpenID Connect 插件反对 OpenID Connect 协定,用户能够应用该插件让 Apache APISIX 对接 Authing 服务,作为集中式认证网关部署于企业中。

对于 Authing

Authing 是国内首款以开发者为核心的全场景身份云产品,集成了所有支流身份认证协定,为企业和开发者提供欠缺平安的用户认证和拜访治理服务。以「API First」作为产品基石,把身份畛域所有罕用性能都进行了模块化的封装,通过全场景编程语言 SDK 将所有能力 API 化提供给开发者。同时,用户能够灵便的应用 Authing 凋谢的 RESTful APIs 进行性能拓展,满足不同企业不同业务场景下的身份治理需要。

什么是集中式身份认证

传统身份认证

在传统认证模式下,各个后端应用服务须要独自开发性能以反对身份认证性能,例如与身份提供商进行交互、获取用户的身份信息等性能。

集中式身份认证

与传统认证模式不同,集中身份认证模式把用户认证从应用服务中抽离了进去。以 Apache APISIX 为例,集中认证的流程如上图所示:首先由用户发动申请(request),而后由前置的网关负责用户认证流程,与身份提供方对接,向身份提供方发送身份认证(authorization)申请。身份提供方返回用户身份信息(user info)。网关实现用户身份辨认后,将用户身份信息通过申请头的模式转发至后端利用。

集中式身份认证治理的长处

相比拟传统认证模式,集中认证模式下有如下长处:

  • 简化利用开发流程,升高开发利用工作量和保护老本,防止各个利用反复开发身份认证逻辑。
  • 进步业务的安全性,集中身份认证模式在网关层面可能及时拦挡未经身份认证的申请,爱护后端的利用。

同时联合 Authing 弱小的身份认证治理性能,可实现如下性能:

  • 通过控制台对身份认证服务进行生命周期治理,包含创立、启用、禁用等。
  • 提供实时、可视化的利用监控,包含:接口申请次数、接口调用提早和接口错误信息,并且进行实时告警告诉。
  • 集中式日志,能够不便地查看用户登录、登出以及对利用的调整和批改信息。

更多具体内容可参考 Authing 利用集成网关。

如何应用

步骤一:配置 Authing

1. 登录 Authing 账号,抉择自建利用,并填入利用名称和认证地址。如果你没有 Authing 账号,请拜访 Authing 官网,单击右上角“登录 / 注册”,注册一个 Authing 账号。

2. 单击“创立”,创立一个 Authing 利用。

3. 设置登录和登出的跳转 URL。在认证过程中,Authing 将会回绝除配置以外的回调 URL,因为本次为本地测试,所以将登录回调 URL 和登出回调 URL 都设置为 APISIX 拜访地址 http://127.0.0.1:9080/

4. 创立用户(可选)。在用户列表页面,创立用户,账号密码别离为 user1/user1,并且能够在「用户信息 - 受权治理」页面中设置是否容许利用的拜访(默认为容许)。

5. 拜访利用页面,获取以下配置,配置 Apache APISIX OpenID Connect 时须要提供这些信息:

  • App ID:OAuth client ID,即利用的 ID。与下文的 client_id{YOUR_CLIENT_ID} 对应。
  • App secret:OAuth client secret,即利用密钥。与下文的 client_secret{YOUR_CLIENT_SECRET} 对应。
  • 服务发现地址:应用服务发现的地址。与下文的 {YOUR_DISCOVERY} 对应。

步骤二:装置 Apache APISIX

目前可通过源码包、Docker、Helm Chart 等多种形式来装置 Apache APISIX。

装置依赖

Apache APISIX 的运行环境须要依赖 NGINX 和 etcd,所以在装置 Apache APISIX 前,请依据您应用的操作系统装置对应的依赖。目前官网提供了 CentOS7、Fedora 31 & 32、Ubuntu 16.04 & 18.04、Debian 9 & 10 和 MacOS 上的依赖装置操作步骤,详情请参考装置依赖。

通过 Docker 或 Helm Chart 装置 Apache APISIX 时,曾经蕴含了所需的 NGINX 和 etcd,请参照各自对应的文档。

通过 RPM 包装置(CentOS 7)

这种装置形式实用于 CentOS 7 操作系统,请运行以下命令装置 Apache APISIX。

sudo yum install -y https://github.com/apache/apisix/releases/download/2.7/apisix-2.7-0.x86_64.rpm

通过 Docker 装置

详情请参考:应用 Docker 装置 Apache APISIX。

通过 Helm Chart 装置

详情请参考:应用 Helm Chart 装置 Apache APISIX。

通过源码包装置

1. 创立一个名为 apisix-2.7 的目录。

mkdir apisix-2.7

2. 下载 Apache APISIX Release 源码包:

wget https://downloads.apache.org/apisix/2.7/apache-apisix-2.7-src.tgz

您也能够通过 Apache APISIX 官网下载 Apache APISIX Release 源码包。Apache APISIX 官网也提供了 Apache APISIX、APISIX Dashboard 和 APISIX Ingress Controller 的源码包,详情请参考 Apache APISIX 官网 - 下载页。

3. 解压 Apache APISIX Release 源码包:

tar zxvf apache-apisix-2.7-src.tgz -C apisix-2.7

4. 装置运行时依赖的 Lua 库:

# 切换到 apisix-2.7 目录
cd apisix-2.7
# 创立依赖
make deps

初始化依赖

运行以下命令初始化 NGINX 配置文件和 etcd。

# initialize NGINX config file and etcd
make init

步骤三:启动 Apache APISIX 并配置对应的路由

1. 运行以下命令,启动 Apache APISIX。

apisix start

2. 创立路由并配置 OpenID Connect 插件。OpenID Connect 配置列表如下:

以下代码示例通过 Apache APISIX Admin API 进行创立路由,设置路由的上游为 httpbin.org。httpbin.org 是一个简略的用于接管申请和响应申请的后端服务,下文将应用 httpbin.org 的 get 页面,参考 http bin get。

具体配置项请参考 Apache APISIX OpenID Connect Plugin。

curl  -XPOST 127.0.0.1:9080/apisix/admin/routes -H "X-Api-Key: edd1c9f034335f136f87ad84b625c8f1" -d '{"uri":"/*","plugins":{"openid-connect":{"client_id":"{YOUR_CLIENT_ID}","client_secret":"{YOUR_CLIENT_SECRET}","discovery":"https://{YOUR_DISCOVERY}","scope":"openid profile","bearer_only":false,"realm":"apisix","introspection_endpoint_auth_method":"client_secret_post","redirect_uri":"http://127.0.0.1:9080/"
        }
    },
    "upstream":{
        "type":"roundrobin",
        "nodes":{"httpbin.org:80":1}
    }
}'

步骤四:拜访 Apache APISIX

1. 拜访 “http://127.0.0.1:9080/get”,因为曾经开启了 OpenID Connect 插件,所以页面被重定向到 Authing 登录页面 (可在 Authing 控制台中「利用 - 品牌化」对该页面进行定制)。

2. 输出用户在 Authing 注册的账号密码,或者在步骤一中创立的用户 user1/user1,单击“登录”,登录 Authing 账户。

3. 登录胜利之后,能胜利拜访到 httpbin.org 中的 get 页面。该 httpbin.org/get 页面将返回申请的数据如下:

   ...
    "X-Access-Token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6InFqeU55aVdVd2NhbUFxdEdVRUNCeFNsTWxQSWtTR2N1NmkyZzhEUk1OSGsifQ.eyJqdGkiOiJjTy16a0pCS0NSRFlHR2kyWkJhY0oiLCJzdWIiOiI2MWM5OGFmOTg0MjI4YWU0OTYyMDU4NTIiLCJpYXQiOjE2NDA1OTg4NTgsImV4cCI6MTY0MTgwODQ1OCwic2NvcGUiOiJvcGVuaWQgcHJvZmlsZSIsImlzcyI6Imh0dHBzOi8vYXBpc2l4LmF1dGhpbmcuY24vb2lkYyIsImF1ZCI6IjYxYzk4M2M0YjI4NzdkNDg2OWRkOGFjYiJ9.l2V8vDWcCObB1LjIhKs2ARG4J7WuB-0c-bnYZG2GP2zcpl6PMAPcId2B76CaXCU58ajGcfRmOlWJ67UaHrfWKv8IM4vcYN1gwhKdokSyrhEM31gQE-MzNEsEbPaVIGXdpR1N2JnAJK5-tKIjopDAXSwArfO6fQKTpjLhCi3COIA169WGRR4CKCwNzzpFAYP2ilNc18D_HRTBLS6UjxZSNUtWE5dbx7uBjblhwIwn5e1fxiEQcknVK8Dxf8NUliFECvr02HX2hNvmuCECkvA_mZYlshAeqidK8tSEXirAWsWS5jlXFqLiBJkhSHFrbxRyqeOSfJCJR_YcCwk9AzgZGg", 
    "X-Id-Token": "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", 
    "X-Userinfo": "eyJ3ZWJzaXRlIjpudWxsLCJ6b25laW5mbyI6bnVsbCwibmFtZSI6bnVsbCwicHJvZmlsZSI6bnVsbCwibmlja25hbWUiOm51bGwsInN1YiI6IjYxYzk4YWY5ODQyMjhhZTQ5NjIwNTg1MiIsImxvY2FsZSI6bnVsbCwiYmlydGhkYXRlIjpudWxsLCJmYW1pbHlfbmFtZSI6bnVsbCwiZ2VuZGVyIjoiVSIsImdpdmVuX25hbWUiOm51bGwsIm1pZGRsZV9uYW1lIjpudWxsLCJwaWN0dXJlIjoiaHR0cHM6XC9cL2ZpbGVzLmF1dGhpbmcuY29cL2F1dGhpbmctY29uc29sZVwvZGVmYXVsdC11c2VyLWF2YXRhci5wbmciLCJwcmVmZXJyZWRfdXNlcm5hbWUiOm51bGwsInVwZGF0ZWRfYXQiOiIyMDIxLTEyLTI3VDA5OjU0OjE3Ljc3M1oifQ=="
    ...

其中:

X-Access-Token:Apache APISIX 将从用户提供商获取到的 access token 放入 X-Access-Token 申请头,能够通过插件配置中的 access_token_in_authorization_header 来抉择是否放入 Authorization 申请头中。

X-Id-Token:Apache APISIX 将从用户提供商获取到的 ID token 通过 base64 编码之后放入 X-Id-Token 申请头,能够通过插件配置中的 set_id_token_header 来抉择是否开启该性能,默认为为开启状态。

X-Userinfo:Apache APISIX 将从用户提供商获取到的用户信息,通过 base64 编码之后放入 X-Userinfo,你能够通过插件配置中的 set_userinfo_header 来抉择是否开启该性能,默认为开启状态。

由此能够看到,Apache APISIX 将会携带 X-Access-TokenX-Id-TokenX-Userinfo 三个申请头传递至上游。

上游能够通过解析这几个头部,从而获取到用户 ID 信息和用户的元数据。

4. 在 Authing 控制台中的「审计日志 - 用户行为日志」中能够察看到 user1 用户在 2021.12.27 17:54:17 胜利登录。

总结

本文为大家形容了 Apache APISIX 和 Authing 对接的具体操作步骤,通过浏览本文,大家对于在 Apache APISIX 中应用 Authing 有了更清晰的了解。

Apache APISIX 不仅致力于放弃本身的高性能,也始终非常重视开源生态的建设。目前 Apache APISIX 曾经领有了 10+ 个认证受权相干的插件,反对与业界支流的认证受权服务对接。

如果你有对接其余认证受权的需要,无妨拜访 Apache APISIX 的 GitHub,通过 issue 留下你的倡议;或订阅 Apache APISIX 的邮件列表,通过邮件表白你的想法。

对于 Apache APISIX

Apache APISIX 是一个动静、实时、高性能的开源 API 网关,提供负载平衡、动静上游、灰度公布、服务熔断、身份认证、可观测性等丰盛的流量治理性能。

Apache APISIX 能够帮忙企业疾速、平安地解决 API 和微服务流量,包含网关、Kubernetes Ingress 和服务网格等。目前已被普华永道数据安全团队、腾讯蓝军、安全河汉实验室、爱奇艺 SRC 和源堡科技平安团队等业余网络安全机构测试,并给予了高度认可。

Apache APISIX 落地用户(仅局部)

  • Apache APISIX GitHub:https://github.com/apache/apisix
  • Apache APISIX 官网:https://apisix.apache.org/
  • Apache APISIX 文档:https://apisix.apache.org/zh/…
退出移动版