edas-service-auth は、Enterprise Distributed Application Service (EDAS) によって提供されるサービス認証プラグインです。edas-service-auth は、Microservices Engine (MSE) クラウドネイティブゲートウェイから EDAS アプリケーションへの呼び出しリクエストに認証情報を追加します。認証情報は、特定のマイクロサービスアプリケーションへのアクセス制御の実装に役立ちます。このトピックでは、edas-service-auth プラグインの設定方法について説明します。
説明
EDAS コンソールでマイクロサービスのサービス認証のホワイトリストが設定されている場合、EDAS はクラウドネイティブゲートウェイからのリクエストに対して ID 認証を実行します。クラウドネイティブゲートウェイが EDAS マイクロサービスを呼び出す前に、クラウドネイティブゲートウェイをホワイトリストに追加する必要があります。追加しない場合、HTTP ステータスコード 403 が返されます。EDAS コンソールでリプレイ攻撃から保護するためにマイクロサービスのサービス認証が設定されている場合、EDAS はクラウドネイティブゲートウェイからのリクエストに対してタイムアウト制御と署名検証を実行します。リクエストがタイムアウトした場合、または署名検証に失敗した場合、HTTP ステータスコード 403 が返されます。詳細については、「サービス認証を使用した Spring Cloud アプリケーションへのアクセス制御の実装」をご参照ください。
プラグインの種類
認証プラグイン。
フィールド
認証設定
名前 | データ型 | 必須 | デフォルト値 | 説明 |
instanceId | string | はい | - | ゲートウェイの ID。ID は gw- で始まる必要があり、リクエストヘッダーに含まれてゲートウェイ ID 情報を指定します。 |
enableAntiReplay | bool | はい | false | リプレイ防止スイッチ。このパラメーターを true に設定すると、タイムスタンプとハッシュベースのメッセージ認証コード (HMAC) 署名がリプレイ防止検証のためにリクエストヘッダーに追加されます。 |
設定例
# ゲートウェイの ID
instanceId: gw-xxxxxxxxxx
# リプレイ防止を有効にする
enableAntiReplay: trueedas-service-auth プラグインが設定されて有効になると、ゲートウェイからの次のヘッダーを含むリクエストが許可されます。
__micro.service.mse.gateway.id__:gw-xxxxxxxxxx # ゲートウェイの ID。 instanceId パラメーターの値と同じである必要があります。
__micro.service.timestamp__:1676362179999 # リクエストが開始されたときのタイムスタンプ (ミリ秒単位)。
__micro.service.signature__:7bTXDwgHsIcz0c3ddAzzo1Pmzf + O07iOeGTque6OYbo= # 署名キー。
__micro.service.secretkey__:fKiokSbOSbISFgjDxwRCUuOerBDguCXq # 生成された署名。