Apisix提供了很多插件,通过鉴权插件,并配合自定义服务接口,可以很好实现网关层面的统一鉴权,认证还是可以走统一认证中心。
1、创建统一鉴权微服务接口
也可以和其他子服务共用一个,但是必须是一个单独的apisix路由接口。
核心伪代码如下,具体的逻辑根据实际情况可以调整,主要是要返回HTTP状态码即可:
代码语言:javascript复制[HttpGet]
public async Task Verify()
{
try
{
// 1、获取token和请求api
var token = Request.Headers.FirstOrDefault(d => d.Key == "Authorization").Value.ObjToString().Replace("Bearer ", "");
var questUrl = Request.Headers.FirstOrDefault(d => d.Key == "X-Forwarded-Uri").Value.ObjToString()?.ToLower() ?? "";
// 2、配置接口白名单
List<string> apis = Appsettings.app<string>("Middleware", "Apisix", "WhiteApis");
if (apis.Contains(questUrl) || apis.Any(d => questUrl.Contains(d)))
{
// 返回200的HTTP状态码
await ResponseForVerify(HttpStatusCode.OK);
return;
}
// 3、token为空,返回401
if (token.Cof_IsNullOrEmpty()) await ResponseForVerify(HttpStatusCode.Unauthorized);
// 解析token,获取内部信息,也可以判断过期时间
var tokenModel = JwtHelper.SerializeJwt(token) ?? new TokenModelJwt();
// 4、当前用户角色是否匹配当前请求的API
var isMatchRole = await IsMatchAPIForCurrentUserRoleAsync(questUrl, currentUserRoles);
if (tokenModel != null && isMatchRole)
{
Console.WriteLine($"鉴权结束时间:{DateTime.Now}-{DateTime.Now.Millisecond};校验通过,用户id:{tokenModel.Uid}");
await ResponseForVerify(HttpStatusCode.OK);
return;
}
// 5、不满足上述情况,就返回403
await ResponseForVerify(HttpStatusCode.Unauthorized);
}
注意白名单的写法有多种,可以使用普通匹配,正则匹配等等。
2、为鉴权服务创建apisix路由
与普通创建路由一致,可以参考其他创建路由具体步骤。
3、为业务微服务配置身份认证插件
这里使用forward-auth作为身份认证插件,具体的配置方法可以查看官网 https://apisix.apache.org/docs/apisix/plugins/forward-auth/
将刚刚创建好的鉴权服务路由接口,配置在插件中,并启动该插件
最终可以在路由列表中,看到已开启的插件名称
4、访问业务微服务接口,即可实现统一鉴权效果
日志可以根据实际情况,自行输出