Kong 基础认证插件（ Basic auth ）

桃扇骨 2023-01-22 09:58 71阅读 0赞

Kong 基础认证插件（ Basic auth ）

Kong 网关有许许多多的插件，接下来我们首先来看下 AUTHENTICATION模块下的基础认证（ Basic Auth ）插件。下文将会详细讲解其实现

什么是 Basic Auth?

$img\_34.png$

基本认证是基于 HTTP 的安全认证机制。

Basic Auth 的流程。

浏览器的 Basic Auth 类似于你日常的用户名密码登陆。其流程类似为：

C => 你好，我想进入这家酒吧。
S => 你好，我们这家酒吧需要会员才能进入。
C => （ 拿出证件 ） 给，这是我的证件。
S => 请进，尊贵的会员。

哈哈，就是这么简单。

映射到 HTTP 中为：

客户端调用服务端的一个被安全限制的接口来获取数据。

$img\_35.png$

Client Request
GET /security/somethings  HTTP/1.1

服务端当解析请求时发现该请求需要访问受限的。则拒绝该请求，并返回一些信息。其中 www-authenticate 的 Basic 代表了需要基本认证。Realm 代表了安全区的名称。

$img\_21.png$

Server Response
HTTP/1.1 401 Unauthorized
....
www-authenticate: Basic realm="xxxx"

收到了 401 请求的客户端带上了 Authorization Basic 和密码。

$img\_37.png$

Client Request
GET /security/somethings  HTTP/1.1
Authorization: Basic bmFtZTpwYXNzd29yZA==

服务端效验了用户名和密码后返回响应的资源。

$img\_38.png$

Server Response
HTTP/1.1 200 OK
....
Content-type: application/json

Basic Auth 优缺点

这就是简单的 BasicAuth 简单验权机制。下面我们就来说一说它的优缺点。

【优点】

简单、快捷、方便配置
浏览器可以提供登陆窗口供登陆

$img\_39.png$

【缺点】

最大的问题就是不安全。先不说原生实现仅仅是将用户名密码使用 Base64 加密，该机制更无法防止类似重放攻击和中间人攻击。

重放攻击 (Replay Attacks)

又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。

中间人攻击 ( Man-in-the-middle attack，缩写：MITM )

是指攻击者与通讯的两端分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。

Basic Auth 的配置。

接下来我们看下如何在 Kong 中使用 Basic Auth。

首先我们前期准备了一个服务并配置了路由来测试。

访问该服务则返回 Hello world

$img\_22.png$

并配置了 kong 的服务配置

$img\_23.png$

配置 Consumer

我们在之前的文章已经讲解过 Consumer，Consumer 就是 Kong 对用户群体种类的分类。

首先，我们选择创建一个支持Basic Auth 的 Consumer。

$img\_28.png$

2.创建它的 Basic Auth 。

$img\_29.png$

3.填写参数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jxzoBPif-1621399904793)((https://img-blog.csdnimg.cn/20210515141552602.png)\])

【参数讲解】

username : 用户名
password : 密码

检查已创建的 Credentials。

$img\_33.png$

配置插件

我们已经创建好了 Consumer，接下来要配置到服务上了。

我们打开该服务选择插件。

$img\_24.png$

点击添加。

$img\_25.png$

选择 Basic Auth。

$img\_26.png$

【参数详解】

consumer : consumer 的 id，来确认是谁来使用该插件，由于该验权插件的限制，consumer 字段必须为空，则为所有用户。

$img\_40.png$
anonymous : 配置匿名访问者的 id 。
hide credentials：是否隐藏凭据到上游 API 服务器。

大功告成

现在我们访问该域名，则会得到一个窗口，需要输入用户名和密码。

$img\_41.png$

当输入用户名和密码后则成功登陆。显示欢迎界面。并且浏览器会对该值在一定时间内缓存。不用每次都验证。

$img\_42.png$

发表评论取消回复

表情：

评论列表（有 0 条评论，71人围观）

还没有评论，来说两句吧...

相关阅读

相关 Kong的插件： session

session的简述 session和cookie都是用来解决HTTP的连接时无状态的问题。比如我们常见的登录问题，如果没有session和cookie机制我们每次都...

左手的ㄟ右手/ 2024年04月17日 18:48/ 0 赞/ 125 阅读

相关 Kong的插件： JWT

JWT的简述 JWT是JSON Web Token的缩写，使用cookie的解决跨域认证的问题，和cas系统是不一样的理论。具体可以看一下大神些的文档：http://...

小鱼儿/ 2024年04月17日 17:07/ 0 赞/ 141 阅读

相关 Kong的插件：Basic Authentication

Basic Authentication 这个是个基础的认证方式，服务端设置用户和密码，客户端发送请求时在头部设置用户和密码，服务端接收到以后对请求进行校验，如果通过...

待我称王封你为后i/ 2024年04月17日 15:33/ 0 赞/ 132 阅读

相关 python+requests——http basic auth认证

import requests from requests.auth import HTTPBasicAuth url = 'https://

秒速五厘米/ 2023年10月03日 17:37/ 0 赞/ 34 阅读

相关 Lumen 使用插件jwt-auth 实现用户认证

简介 JWT（json web token）,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑切安全的，特别

快来打我*/ 2023年07月21日 11:07/ 0 赞/ 44 阅读

相关 Kong 基础认证插件（ Basic auth ）

Kong 基础认证插件（ Basic auth ） > Kong 网关有许许多多的插件，接下来我们首先来看下 `AUTHENTICATION`模块下的基础认证（ Ba

桃扇骨/ 2023年01月22日 09:58/ 0 赞/ 72 阅读

相关 HttpURLConnection Basic auth 认证验证，java获取Basic auth认证数据

import org.apache.commons.codec.binary.Base64; import javax.net.ssl.HttpsUR

野性酷女/ 2022年11月05日 14:58/ 0 赞/ 546 阅读

相关 Basic Auth

可能网上有重复代码了，以下存粹为了记录自己的程序小人生。也希望能帮到小白，不喜勿喷。大神可以给指点一下，欢迎骚扰！！！ 1.SecurityConfiguration.jav

墨蓝/ 2022年05月16日 22:51/ 0 赞/ 277 阅读

相关 ios开发使用Basic Auth 认证方式

我们app的开发通常有2种认证方式一种是Basic Auth，一种是OAuth；现在普遍还是使用OAuth的多，而使用Basic Auth认证的少，正好呢我今天给大家介绍的

左手的ㄟ右手/ 2022年01月16日 13:15/ 0 赞/ 318 阅读

相关 HttpClient BA认证 basic auth 实例

httpclient 4.5 httpcore 4.4.1 jackson 2.4.4 private static final Object

╰+攻爆jí腚メ/ 2021年06月24日 15:56/ 0 赞/ 574 阅读