雲原生API Gateway通過消費者來為路由、API開啟認證能力,本文介紹雲原生API Gateway控制台如何管理消費者。
建立消費者
雲原生API Gateway為您提供了三種認證方式。
配置方式 | 說明 | 情境適用 |
API Key | 用戶端需將憑證按指定方式添加到請求中,網關驗證其合法性與許可權。適用於非敏感操作環境,安全性低於 JWT、AK/SK,需注意憑證管理與保護。 | 適合輕量級、快速接入以及對安全性要求不特別高的情境。 |
JWT | JSON Web Token (JWT) 是一種在用戶端與服務端之間安全傳輸資訊的標準,通過 HMAC、RSA 或 ECDSA 簽名確保資訊可驗證和可信。JWT 認證可在網關中實現身分識別驗證與存取控制。 | 適用於分布式系統和單點登入(SSO)情境。 |
HMAC | 基於 HMAC 演算法的 AK/SK 簽名認證方式要求用戶端在調用 API 時,使用簽名金鑰組請求內容進行簽名計算,並將簽名一同發送至服務端驗證 。 | 適合對資料完整性和防篡改有較高要求的情境。 |
基於API Key認證方式建立
前往雲原生API Gateway控制台的消費者頁面,選擇您計劃建立消費者的地區。
單擊建立消費者,在建立消費者面板,配置消費者名稱,認證方式選擇API Key,完成相關配置:
產生方式:
系統產生:系統為您自動產生API Key憑證。
自訂:自訂API Key憑證及憑證來源。
憑證(選擇系統產生不同配置憑證):自訂API Key憑證。
憑證來源:
告訴網關API Key在請求中應該從哪裡提取,來源包括:
Authorization: Bearer <token>(標準 Token 格式)
自訂 HTTP Header(如
X-API-Key: your-key)自訂Query參數(如
?apikey=your-key)
基於JWT認證方式建立
前往雲原生API Gateway控制台的消費者頁面,選擇您計劃建立消費者的地區。
單擊建立消費者,在建立消費者面板,配置消費者名稱,認證方式選擇JWT,完成相關配置:
建立方式:
本地配置適用於認證服務與網關在同一叢集或區域網路內、對效能要求較高、密鑰較少變動的情境。
遠程擷取適用於使用統一身份中心(如 OAuth2、OpenID Connect)簽發JWT的情境,支援動態更新密鑰,適合多租戶或生產環境。
密鑰類型(選擇遠程擷取時,不用配置密鑰類型):
對稱金鑰:產生一份預設的JWKS配置(每個消費者不同),包含加密或者解密Token時使用的密鑰。
非對稱金鑰:需要您自己填寫完整的JWKS配置,使用私密金鑰加密Token。網關根據JWKS中配置的公開金鑰進行解密。
JWKS:
選擇本地配置時,設定JWKS配置,JWKS規範說明請參考JSON Web Key (JWK)。
選擇遠程擷取時,設定URL,系統會自動解析並讀取其中的資訊,包括連接埠號碼、逾時時間和緩衝時間。
重要URL必須是網域名稱,不能是IP。
JWT Token:設定JWT Token配置資訊。
類型:Token參數類型,預設Header。
Key:Token參數名稱。
首碼:Token參數名的首碼。設定需要校正的Token參數資訊,預設是以Bearer為首碼放在Authorization Header中,例如Authorization: Bearer token。
是否透傳:選中Token參數透傳,表示透傳此Token參數到後端服務。
JWT Payload 內消費者標識:指定從JWT Payload中的Key以及對應Value來識別為當前消費者。預設提供一對標識,Key為uid,Value為隨機字串,可以自行修改。JWT Token中的Payload配置樣本如下所示:
{ "uid": "11215ac069234abcb8944232b79ae711" }
基於HMAC認證方式建立
前往雲原生API Gateway控制台的消費者頁面,選擇您計劃建立消費者的地區。
單擊建立消費者,在建立消費者面板,配置消費者名稱,認證方式選擇HMAC,完成相關配置:
系統產生:系統為您自動產生AK、SK配置。
自訂:自訂AK、SK配置。
停用消費者
在左側導覽列,選擇消費者,並在頂部功能表列選擇地區。
在消費者列表頁面,單擊目標消費者的操作列下的停用,然後在確認停用對話方塊中單擊確定。
刪除消費者
在左側導覽列,選擇消費者,並在頂部功能表列選擇地區。
在消費者列表頁面,單擊目標消費者的操作列下的刪除,然後在確認刪除對話方塊中輸入當前的消費者名稱,然後單擊刪除。