关于数字:一文了解如何使用数字身份认证平台-EIAM-保护-API-网关访问

3次阅读

共计 1870 个字符,预计需要花费 5 分钟才能阅读完成。

01. 背景介绍

通过腾讯云 API 网关,开发者能够将来自 Serverless 无服务器的云函数 SCF、CVM 上的 Web 服务、用户本身的 Web 服务进行对立封装并凋谢给最终用户。最终用户无论是挪动客户端、Web 客户端、物联网或其余利用,都能够通过 API 网关调用 API 服务。为了确保 API 调用的安全性,API 网关目前反对免鉴权、利用认证、OAuth2.0 三种形式。对于免鉴权形式,因为用户无需鉴权即可通过 API 网关调用后盾业务,安全级别较低;对于利用认证形式,如果用户数目变多,须要思考利用的治理平安问题;对于 OAuth2.0 形式,须要开发者自建和保护认证服务器。

腾讯数字身份管控平台(EIAM)反对对用户身份的集中管理、用户认证、利用集成、SSO、受权治理、审计治理等能力,反对 SAML、CAS、JWT、OIDC、OAuth2.0 等多种协定,反对多种基于角色的访问控制(RBAC)模型。采纳 EIAM 为 API 网关提供认证和鉴权能力能够为 API 调用提供更为平安和简便的形式。

02. 能力劣势

通过 EIAM 为 API 网关提供防护的能力,具备以下劣势:
应用规范 OAuth2.0 协定;
可一键创立受权 API 和业务 API,轻配置;
EIAM 保护用户目录,免自建认证服务器;
在认证能力根底上反对鉴权性能,爱护 API 平安;
EIAM 内置多种 RBAC 模型,免自建鉴权服务器和受权模型;
内置缓存机制,更快的访问速度;

03. 性能亮点简析

1. API 网关新性能详解

  • 新增鉴权类型
    鉴权类型中新增 EIAM 认证类型,通过配置化组合满足不同的客户需要;
  • 多种接入形式
    反对主动新建 EIAM 利用、主动关联已建 EIAM 利用;
    不同粒度的认证与鉴权
    反对抉择只认证不鉴权、既认证又鉴权;
  • 多端 API 调用适配
    反对实用于非 Web 客户端(如服务器端、APP 客户端、小程序客户端等)、Web 客户端(浏览器、web viewer 等)发动的 API 调用;

2. EIAM 新性能详解

利用类型反对
反对创立 API 网关利用类型,反对 OAuth2 + JWT 联合形式对 API 调用进行认证和鉴权反对;

资源级受权反对
反对依照组组织机构、用户组、用户进行 API 级的受权;

鉴权反对
OAuth2 输入减少 id_token,带有 scope,反对返回用户信息和以后用户可拜访的 API 列表;

04. 配置流程

通过 EIAM 为 API 网关提供防护能力包含 3 个步骤:

  1. 创立 API 公布服务;
  2. 对 API 进行受权;
  3. 从客户端拜访 API;

从业务场景上,终端用户对于 API 调用的发起方可能为非 Web 客户端(如服务器端、C/S 架构零碎客户端、App 客户端、小程序客户端)、Web 客户端(如浏览器、Web Viewer)。非 Web 客户端能反对以 POST 形式发动申请,Web 客户端反对以 Web 重定向形式接管返回信息。下文以非 Web 客户端为例阐明配置流程。

第一步:创立 API 公布服务

  1. 进入 API 网关的控制台 –> 服务菜单 –> 治理 API Tab 页面
    API 网关控制台地址:https://console.cloud.tencent…
  2. 点击新建 API 进入前端配置

  • 鉴权类型抉择 EIAM 认证;
  • 接入形式抉择新建 EIAM 利用,会在 EIAM 主动创立 API 网关利用;
  • 既认证又鉴权;
  • EIAM 利用类型抉择非 Web 客户端;
  • 实现前端配置后,进入后端配置;
    公网 URL/IP 的后端类型,填写利用域名、后端门路、申请形式抉择 GET 等信息;

4. 选择响应后果类型

第二步:对 API 进行受权(EIAM)

  1. 进入 EIAM 的控制台 –> 资源级受权;

  1. 抉择用户受权 Tab 页,抉择 API 网关利用;
  2. 抉择新增受权;
  3. 抉择用户“user001”和“userName_11”进行受权;

  1. 受权实现后,能够在资源级受权页面看到受权后果

第三步:从客户端拜访 API
采纳 postman 的形式对非 Web 客户端对 API 的调用进行验证。1. 对于未实现受权的用户

  • 获取 id token;
  • 鉴权验证,返回后果“Access not authorized”;

2. 对于实现受权的用户

  • 解析 id token 内容,能够查看对应用户身份为 user001;

  • 鉴权验证,返回后果“Work!!!”,即能够进行 API 的调用;

通过 3 步简略配置,即可疾速实现 EIAM + API 网关联结计划的配置,无需自建认证服务器、鉴权服务器,即可为您的业务 API 调用提供认证与鉴权能力。在将来,通过 EIAM 对多种受权模型的反对能够为 API 网关后防护的业务 API 提供更为细粒度的访问控制能力,让开发者聚焦关注本身业务开发。

05. 直播预报,参加有礼 🎁

参加直播互动,将有机会 收费取得 腾讯视频 VIP 月卡 1 张!8 月 16 日,晚 7 点见!

正文完
数字
发表至: 数字
2021-08-09
 0
关于数字:撑算力之帆天翼云助力数字时代逐潮者远航
关于数字:千行百业一起乘云而上
关于数字:数字化转型的路上手握一张地图但路还得自己走
关于数字:如何构建企业出海的免疫力深入解读阿里云CDN安全能力

站内搜索

-「