跳到主要内容

实施基本认证

基本认证是一种广泛使用的方法,通过验证请求标头中发送的用户名和密码组合来对客户端进行身份验证。它提供了一种简单有效的方式来保护 API,适用于优先考虑易于实现的用例,例如内部工具、开发环境或访问受限的 API。但是,由于凭证随每个请求一起传输,因此基本认证应始终在 HTTPS 上使用,以防止暴露。对于需要更强大安全性的场景,例如多因素身份验证或委托访问,建议使用 OAuth 等更高级的协议。

在本指南中,你将实现一个场景,其中有两个消费者使用 基本认证 向 APISIX 进行身份验证,每个消费者具有不同的限流限速配额。一旦实施,消费者应该能够访问上游服务并将消费者 ID 转发到上游服务,从而为额外的业务逻辑提供选项。

创建消费者

消费者是指使用 API 的应用程序或开发者。在使用 APISIX 内置身份验证方法时,你应该始终创建消费者。

创建一个具有可选自定义 ID 和 30 秒窗口内一个请求的限流限速配额的消费者 johndoe

curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
    "username": "johndoe",
    "labels": {
      "custom_id": "john-doe-junior"
    },
    "plugins": {
      "limit-count": {
        "count": 1,
        "time_window": 30,
        "rejected_code": 429
      }
    }
  }'

如果你希望实施额外的业务逻辑,自定义 ID 将转发到上游服务。

创建另一个具有可选自定义 ID 和 30 秒窗口内两个请求的限流限速配额的消费者 janedoe

curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
    "username": "janedoe",
    "labels": {
      "custom_id": "jane-doe-senior"
    },
    "plugins": {
      "limit-count": {
        "count": 2,
        "time_window": 30,
        "rejected_code": 429
      }
    }
  }'

创建消费者凭证

凭证用于配置与消费者关联的身份验证凭证。

johndoe 创建 basic-auth 凭证:

curl "http://127.0.0.1:9180/apisix/admin/consumers/johndoe/credentials" -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
    "id": "cred-john-basic-auth",
    "plugins": {
      "basic-auth": {
        "username": "johndoe",
        "password": "john-key"
      }
    }
  }'

janedoe 创建 basic-auth 凭证:

curl "http://127.0.0.1:9180/apisix/admin/consumers/janedoe/credentials" -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
    "id": "cred-jane-basic-auth",
    "plugins": {
      "basic-auth": {
        "username": "janedoe",
        "password": "jane-key"
      }
    }
  }'

创建路由

创建一个路由并启用 basic-auth

curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
  -H "X-API-KEY: ${ADMIN_API_KEY}" \
  -d '{
    "id": "basic-auth-route",
    "uri": "/anything",
    "plugins": {
      "basic-auth": {}
    },
    "upstream": {
      "type": "roundrobin",
      "nodes": {
        "httpbin.org:80": 1
      }
    }
  }'

验证

使用 john 的密钥向路由发送请求:

curl "http://127.0.0.1:9080/anything" -u johndoe:john-key

你应该看到类似以下的 HTTP/1.1 200 OK 响应:

{
  "args": {},
  "data": "", 
  "files": {}, 
  "form": {}, 
  "headers": {
    ...
    "X-Consumer-Username": "johndoe",
    "X-Credential-Identifier": "cred-john-basic-auth",
    "X-Consumer-Custom-Id": "john-doe-junior",
    "X-Forwarded-Host": "127.0.0.1"
  }, 
  ...
}

使用 john 的密钥向路由生成三个请求:

resp=$(seq 3 | xargs -I{} curl "http://127.0.0.1:9080/anything" -u johndoe:john-key -o /dev/null -s -w "%{http_code}\n") && \
  count_200=$(echo "$resp" | grep "200" | wc -l) && \
  count_429=$(echo "$resp" | grep "429" | wc -l) && \
  echo "200": $count_200, "429": $count_429

你应该看到以下响应,显示在 3 个请求中,1 个请求成功,而其他请求被拒绝:

200:    1, 429:    2

使用 jane 的密钥向路由生成三个请求:

resp=$(seq 3 | xargs -I{} curl "http://127.0.0.1:9080/anything" -u janedoe:jane-key -o /dev/null -s -w "%{http_code}\n") && \
  count_200=$(echo "$resp" | grep "200" | wc -l) && \
  count_429=$(echo "$resp" | grep "429" | wc -l) && \
  echo "200": $count_200, "429": $count_429

你应该看到以下响应,显示在 3 个请求中,2 个请求成功,而另一个被拒绝:

200:    2, 429:    1

最后,发送一个带有无效密钥的请求:

curl -i "http://127.0.0.1:9080/anything" -u johndoe:wrong-key

你应该看到 HTTP/1.1 401 Unauthorized 响应,并带有以下消息:

{"message":"Invalid user authorization"}

下一步

你现在已经学会了如何实施基本认证。APISIX 支持其他内置身份验证方法,例如 密钥认证JWT 认证HMAC 认证