管理消费者凭证
消费者(Consumer) 是消费你 API 的应用程序。在服务(Service)上启用身份验证可以控制访问权限,要求消费者在访问 API 之前获取凭证。
服务上启用的身份验证插件充当 API 的锁,而消费者凭证则是解锁它们的钥匙。在 API7 企业版中,你需要一个唯一的用户名和至少一个凭证来设置消费者。
消费者可以使用多种不同类型的凭证,所有这些凭证在身份验证时均被同等对待。
备注
在实现基于消费者的凭证管理之前,请考虑开发者(Developers)是否是一个更好的解决方案。
本教程将指导你创建消费者并配置身份验证凭证。
前置条件
配置 Key 认证凭证
- Dashboard
- ADC
- Ingress Controller
- 从侧边导航栏选择你网关组的 Consumers(消费者)。
- 点击 + Add Consumer。
- 在对话框中,执行以下操作:
- 在 Name 字段中,输入
Alice。 - 点击 Add。
- 在 Credentials 选项卡下,点击 + Add Key Authentication Credential。
- 在对话框中,执行以下操作:
- 在 Name 字段中,输入
primary-key。 - 在 Key 字段中,输入
alice-primary-key。- 如果你想从密钥提供商(Secret Provider)中引用,请参考在 HashiCorp Vault 中引用密钥、在 AWS Secrets Manager 中引用密钥或在 Kubernetes Secret 中引用密钥。
- 点击 Add。
- 再次尝试添加另一个名为
backup-key的 Key 认证凭证,其 Key 为alice-backup-key。所有凭证均有效,并且可以互换使用以进行 API 身份验证。
以下是一个交互式演示,为你提供了使用 API7 企业版配置 Key 认证凭证的实践介绍。
更新 ADC 配置,添加一个具有 Key 认证凭证的消费者 Alice:
adc.yaml
consumers:
- username: Alice
credentials:
- config:
key: alice-backup-key
name: backup-key
type: key-auth
- config:
key: alice-primary-key
name: primary-key
type: key-auth
将配置同步到 API7 企业版:
adc sync -f adc.yaml
- Gateway API
- APISIX CRD
创建一个 Kubernetes 清单文件,为消费者 alice 配置一个主 Key(primary key)和一个备用 Key(backup key)以进行 Key 认证:
consumer-cred.yaml
apiVersion: apisix.apache.org/v1alpha1
kind: Consumer
metadata:
namespace: api7
name: alice
spec:
gatewayRef:
name: apisix
credentials:
- type: key-auth
name: primary-key
config:
key: alice-primary-key
- type: key-auth
name: backup-key
config:
key: alice-backup-key
或者,你在配置凭证时可以使用 Kubernetes Secret:
consumer-cred.yaml
apiVersion: v1
kind: Secret
metadata:
namespace: api7
name: key-auth-primary
data:
key: YWxpY2UtcHJpbWFyeS1rZXk=
---
apiVersion: v1
kind: Secret
metadata:
namespace: api7
name: key-auth-backup
data:
key: YWxpY2UtYmFja3VwLWtleQ==
---
apiVersion: apisix.apache.org/v1alpha1
kind: Consumer
metadata:
namespace: api7
name: alice
spec:
gatewayRef:
name: apisix
credentials:
- type: key-auth
name: key-auth-primary
secretRef:
name: key-auth-primary
- type: key-auth
name: key-auth-backup
secretRef:
name: key-auth-backup
❶ 对主 Key alice-primary-key 进行 Base64 编码。
❷ 对备用 Key alice-backup-key 进行 Base64 编码。
将配置应用到你的集群:
kubectl apply -f consumer-cred.yaml
备注
ApisixConsumer CRD 目前不支持将相同类型的多个凭证关联到单个消费者。
创建一个 Kubernetes 清单文件,为消费者 alice 配置一个用于 Key 认证的 Key:
consumer-cred.yaml
apiVersion: apisix.apache.org/v2
kind: ApisixConsumer
metadata:
namespace: api7
name: alice
spec:
ingressClassName: apisix
authParameter:
keyAuth:
value:
key: alice-primary-key
或者,你在配置凭证时可以使用 Kubernetes Secret:
consumer-cred.yaml
apiVersion: v1
kind: Secret
metadata:
namespace: api7
name: key-auth-primary
data:
key: YWxpY2UtcHJpbWFyeS1rZXk=
---
apiVersion: apisix.apache.org/v2
kind: ApisixConsumer
metadata:
namespace: api7
name: alice
spec:
ingressClassName: apisix
authParameter:
keyAuth:
secretRef:
name: key-auth-primary
❶ 对主 Key alice-primary-key 进行 Base64 编码。
将配置应用到你的集群:
kubectl apply -f consumer-cred.yaml