全部產品
Search
文件中心

Microservices Engine:AddGatewayAuth - 建立網關鑒權

更新時間:Apr 21, 2026

建立網關鑒權。

調試

您可以在OpenAPI Explorer中直接運行該介面,免去您計算簽名的困擾。運行成功後,OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊,可以在RAM權限原則語句的Action元素中使用,用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下:

  • 操作:是指具體的許可權點。

  • 存取層級:是指每個操作的存取層級,取值為寫入(Write)、讀取(Read)或列出(List)。

  • 資源類型:是指操作中支援授權的資源類型。具體說明如下:

    • 對於必選的資源類型,用前面加 * 表示。

    • 對於不支援資源級授權的操作,用全部資源表示。

  • 條件關鍵字:是指雲產品自身定義的條件關鍵字。

  • 關聯操作:是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權,操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

mse:AddGatewayAuth

create

*Gateway

acs:mse:{#regionId}:{#accountId}:instance/{#GatewayUniqueId}

請求參數

名稱

類型

必填

描述

樣本值

Name

string

鑒權名稱。

test

Type

string

鑒權類型:

  • JWT

  • OIDC

  • IDaaS

  • ExternalAuthZ(自建的鑒權服務)

JWT

Issuer

string

鑒權類型為 JWT/OIDC 時使用:

  • JWT:表示 JWT claims 的 iss(issuer),即簽發人。

  • OIDC:表示 OIDC claims 的 iss(issuer),即簽發人

https://example.com/auth

Jwks

string

JWT 公開金鑰,支援 JSON 格式。

{"keys":[{"e":"AQAB","kid":"DHFbpoIUqrY8t2zpA2qXfCmr5VO5ZEr4RzHU_-envvQ","kty":"RSA","n":"xAE7eB6qugXyCAG3yhh7pkDkT65pHymX-P7KfIupjf59vsdo91bSP9C8H07pSAGQO1MV_xFj9VswgsCg4R6otmg5PV2He95lZdHtOcU5DXIg_pbhLdKXbi66GlVeK6ABZOUW3WYtnNHD-91gVuoeJT_DwtGGcp4ignkgXfkiEm4sw-4sfb4qdt5oLbyVpmW6x9cfa7vs2WTfURiCrBoUqgBo_-4WTiULmmHSGZHOjzwa8WtrtOQGsAFjIbno85jp6MnGGGZPYZbDAa_b3y5u-YpW7ypZrvD8BgtKVjgtQgZhLAGezMt0ua3DRrWnKqTZ0BJ_EyxOGuHJrLsn00fnMQ"}]}

TokenPosition

string

JWT Token 類型:

  • HEADER:通過 Header 傳輸

要校正的 Token 參數資訊,預設是以 Bearer 為首碼放在 Authorization header 中,例如:Authorization: Bearer token。

HEADER

TokenName

string

JWT Token 儲存的位置。

要校正的 Token 參數資訊,預設是以 Bearer 為首碼放在 Authorization header 中,例如:Authorization: Bearer token

Authorization

TokenNamePrefix

string

JWT Token 的首碼。

要校正的 Token 參數資訊,預設是以 Bearer 為首碼放在 Authorization header 中,例如:Authorization: Bearer token

Bearer

TokenPass

boolean

是否透傳 Token。

true

IsWhite

boolean

授權黑白名單模式:

  • true:白名單模式(名單中的 hosts + paths 不需要校正即可訪問,其餘都需要校正)

  • false:黑名單模式(名單中的 hosts + paths 需要校正,其餘可直接存取)

true

Status

boolean

未開放參數,無需傳遞(鑒權建立後預設為關閉狀態)。

false

RedirectUrl

string

授權成功後的重新導向地址(OIDC/IDaaS 使用,需要與 OIDC/IDaaS 中配置的重新導向地址保持一致。)

https://test-.com/oauth2/callback

ClientId

string

服務註冊的應用 ID(OIDC/IDaaS 使用)。

23460e2fdd9bf9ad106****

ClientSecret

string

服務註冊的應用 Secret(OIDC/IDaaS 使用)。

123****

CookieDomain

string

Cookie 的網域名稱,認證通過後會將 Cookie 發送到指定的網域名稱,保持登入狀態。

例如:設定Cookie-domain=a.example.com,則 Cookie 會發送到網域名稱a.example.com;設定Cookie-domain=.example.com,則 Cookie 會發送到example.com的所有子網域名稱。

test.com

ScopesList

array

OIDC 授權範圍(OIDC 使用)。

string

OIDC 授權範圍

openid

LoginUrl

string

IDaaS 執行個體使用者登入頁地址(IDaaS 使用)。

https://daxxxxcn.aliyunidaas.com/

Sub

string

鑒權類型為 JWT 時使用;JWT claims 的 sub(subject),即主體,請確保 JWT 的 Payload 中的 sub 欄位的值與此處配置的值一致。如果該參數未設定或者為空白,那麼預設與 Issuer 參數設定的值一致

testing@secure.istio.io

ExternalAuthZJSON

object

自訂鑒權資訊。

ServiceId

integer

鑒權服務 ID。

1343

PrefixPath

string

鑒權服務提供的鑒權 API 的 Path,API 的 Path 需是首碼匹配。

/auth

TokenKey

string

Token 處於請求報文中哪個 Header 中,常見的有 Authorization 和 Cookie。

Authorization

AllowRequestHeaders

array

鑒權請求中允許攜帶的頭部。

string

允許的要求標頭名稱。

x-req

AllowUpstreamHeaders

array

鑒權響應中允許保留的頭部。

string

允許的回應標頭名稱。

x-resp

Timeout

integer

鑒權服務的逾時時間,單位:秒。

10

IsRestrict

boolean

自訂鑒權模式:

  • true:strict 模式,當鑒權服務不可用時(鑒權服務建立串連失敗或者返回 5xx 請求),網關拒絕用戶端請求

  • false:寬鬆模式,當鑒權服務不可用時(鑒權服務建立串連失敗或者返回 5xx 請求),網關放過用戶端請求

true

WithRequestBody

boolean

是否允許攜帶 Body。

true

BodyMaxBytes

integer

Body 的最大位元組數。

4000000

WithRematchRoute

boolean

是否在鑒權完成後重新匹配路由。

GatewayUniqueId

string

網關唯一標識 ID。

gw-*****9b04bb4474cae9d645be850e3d7

AuthResourceMode

integer

授權資源模式:

  • 0:簡單模式

  • 1:複雜模式

1

AuthResourceConfig

string

複雜模式的 YAML 配置

AuthResourceList

array<object>

鑒權的授權規則列表,多個規則條件之間是“或”關係,規則條件內的多個匹配項之間是“與”關係。

array<object>

資料結構。

DomainId

integer

規則內網域名稱的 ID。

1765

Path

string

規則的匹配路徑。

/test

MatchType

string

請求 Path 的匹配類型:

  • EQUAL:精確匹配

  • PRE:首碼匹配

  • ERGULAR:正則匹配

EQUAL

IgnoreCase

boolean

路徑是否開啟大小寫敏感(建立自訂鑒權時使用,其他鑒權類型預設開啟大小寫敏感)

  • true:開啟大小寫敏感

  • false:關閉大小寫敏感

true

AuthResourceHeaderList

array<object>

規則的要求標頭(當前僅供自訂鑒權使用)

object

HeaderKey

string

要求標頭名稱。

x-req

HeaderMethod

string

匹配條件:

  • EQUAL:等於

  • NOT_EQUAL:不等於

  • EXIST:存在

  • NOT_EXIST:不存在

  • INCLUDE:包含

  • EXCLUDE:不包含

  • PREFIX:首碼

  • SUFFIX:尾碼

  • REGREX:正則

EQUAL

HeaderValue

string

要求標頭的值。

123

AcceptLanguage

string

返回結果顯示的語言。取值:zh(預設值):中文,en:英文

zh

返回參數

名稱

類型

描述

樣本值

object

資料結構。

RequestId

string

請求 ID。

4279C00F-A5E1-53C6-A43B-751C1C524D0B

HttpStatusCode

integer

HTTP 狀態代碼。

200

Message

string

返回資訊。

OK

Code

integer

用於和 Success 同步,當 Success 為 true 時,Code 為 200。

200

Success

boolean

請求結果,取值如下:

  • true:請求成功。

  • false:請求失敗。

true

Data

integer

建立的鑒權 ID。

333

樣本

正常返回樣本

JSON格式

{
  "RequestId": "4279C00F-A5E1-53C6-A43B-751C1C524D0B",
  "HttpStatusCode": 200,
  "Message": "OK",
  "Code": 200,
  "Success": true,
  "Data": 333
}

錯誤碼

HTTP status code

錯誤碼

錯誤資訊

描述

400 IllegalRequest Invalid request:%s 非法請求: %s
400 InvalidParameter Parameter error:%s 請求參數錯誤:%s
500 InternalError Console error. Try again later:%s 控制台錯誤.稍後重試:%s
403 NoPermission You are not authorized to perform this operation:%s 沒有許可權使用此介面:%s
404 NotFound Not found:%s 資源不存在:%s

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊,參考變更詳情