自定义认证-华为云

API网关 APIG-配置API的后端自定义认证:创建用于后端自定义认证的函数

创建用于后端自定义认证的函数在FunctionGraph中开发函数。下面以python2.7为例，函数代码需要满足如下条件：函数代码只支持您自定义的用户数据，且它的格式为：event["user_data"]。函数代码获取的请求参数与API网关自定义认证中的参数关系为：函数请求参数中的自定义用户数据对应API网关自定义认证中的用户数据，参数值在您创建API网关自定义认证时输入，用户数据格式不限制，您可以自行指定。函数的返回值不能大于1M，必须满足如下格式： { "statusCode":200, "body": "{\"status\": \"allow\", \"context\": {\"user\": \"abc\"}}" } 其中，body字段的内容为字符串格式，json解码之后为： { "status": "allow/deny", "context": { "user": "abc" } } “statusCode”字段为必选，函数服务正常且自定义认证函数代码符合规范时，statusCode的值则为自定义认证函数的响应码。调用自定义认证的API，当自定义认证函数的响应码为非200时，API网关认为函数服务异常，并返回错误码“500”，错误信息为“Internal server error”。调用自定义认证的API，如果自定义认证开启宽松模式，当自定义认证函数连接失败、返回“500”或者“503”时，自定义认证不会校验body字段里面的status字段，直接返回调用成功，同时从函数代码中获取到的context字段也为空。 “status”字段为必选，用于标识认证结果。只支持“allow”或“deny”，“allow”表示认证成功，“deny”表示认证失败。 “context”字段为可选，支持字符串类型键值对，当实例支持authorizer_context_support_num_bool特性时，键值对的值支持number类型和boolean类型，键值不支持JSON对象或数组。 context中的数据为您自定义的字段，认证通过后作为认证参数映射到API网关后端参数中，其中context中的参数名称与系统参数名称必须完全一致，且区分大小写。context中的参数名称必须以英文字母开头，支持英文大小写字母、数字、下划线和中划线，且长度为1 ~ 32个字符。后端认证通过后，context中的user的值abc映射到后端服务Header位置的test参数中，并将其传递给API的后端服务。用户数据定义代码示例： # -*- coding:utf-8 -*- import json import base64 def handler(event, context): exampleuserdata=base64.b64encode(event["user_data"]) resp = { 'statusCode': 200, 'body': json.dumps({ "status":"allow", "context":{ "user":exampleuserdata } }) } return json.dumps(resp) 测试函数。在测试事件的“事件模板”中选择“空白模板”，内容为： {"user_data": "123"} 根据实际情况修改后保存测试模板，单击“测试”。执行结果为“成功”时，表示测试成功。接下来您需要进入API网关界面创建后端自定义认证。

API网关 APIG 配置API的自定义认证

函数工作流 FUNCTIONGRAPH-构建程序:请求参数代码定义示例

请求参数代码定义示例在FunctionGraph中开发函数，以python2.7语言为例，函数代码需要满足如下条件。函数有明确的接口定义，如下所示： def handler (event, context) 入口函数名（handler）：入口函数名称，需和函数执行入口处用户自定义的入口函数名称一致。执行事件（event）：函数执行界面由用户输入的执行事件参数，格式为JSON对象。上下文环境（Context）：Runtime提供的函数执行上下文，其接口定义在SDK接口说明。执行事件（event）支持三种请求参数定义，格式为： Header中的请求参数：event["headers"]["参数名"] Query中的请求参数：event["queryStringParameters"]["参数名"] 您自定义的用户数据：event["user_data"] 函数代码获取的三种请求参数与API网关自定义认证中的参数关系如下所示： Header中的请求参数：对应自定义认证中参数位置为Header的身份来源，其参数值在您调用使用该前端自定义认证的API时传入 Query中的请求参数：对应自定义认证中参数位置为Query的身份来源，其参数值在您调用使用该前端自定义认证的API时传入您自定义的用户数据：对应自定义认证中的用户数据，其参数值在您创建自定义认证时输入函数的返回值不能大于1M，必须满足如下格式： { "statusCode":200, "body": "{\"status\": \"allow\", \"context\": {\"user\": \"abc\"}}" } 其中，body字段的内容为字符串格式，json解码之后为： { "status": "allow/deny", "context": { "user": "abc" } } “status”字段为必选，用于标识认证结果。只支持“allow”或“deny”，“allow”表示认证成功，“deny”表示认证失败。 “context”字段为可选，只支持字符串类型键值对，键值不支持JSON对象或数组。 context中的数据为您自定义的字段，认证通过后作为认证参数映射到API网关后端参数中，其中context中的参数名称与系统参数名称必须完全一致，且区分大小写，context中的参数名称必须以英文字母开头，支持英文大小写字母、数字、下划线和中划线，且长度为1 ~ 32个字符。 Header中的请求参数定义代码示例： # -*- coding:utf-8 -*- import json def handler(event, context): if event["headers"].get("auth")=='abc': resp = { 'statusCode': 200, 'body': json.dumps({ "status":"allow", "context":{ "user":"success" } }) } else: resp = { 'statusCode': 200, 'body': json.dumps({ "status":"deny", }) } return json.dumps(resp) Query中的请求参数定义代码示例： # -*- coding:utf-8 -*- import json def handler(event, context): if event["queryStringParameters"].get("test")=='abc': resp = { 'statusCode': 200, 'body': json.dumps({ "status":"allow", "context":{ "user":"abcd" } }) } else: resp = { 'statusCode': 200, 'body': json.dumps({ "status":"deny", }) } return json.dumps(resp) 用户数据定义代码示例： # -*- coding:utf-8 -*- import json def handler(event, context): if event.get("user_data")=='abc': resp = { 'statusCode': 200, 'body': json.dumps({ "status":"allow", "context":{ "user":"abcd" } }) } else: resp = { 'statusCode': 200, 'body': json.dumps({ "status":"deny", }) } return json.dumps(resp)

函数工作流 FUNCTIONGRAPH 使用FunctionGraph函数作为后端实现APIG的自定义认证能力

函数工作流 FUNCTIONGRAPH-方案概述:解决方案

解决方案登录FunctionGraph控制台，创建函数，并将其定义为自定义认证函数。登录FunctionGraph控制台，创建一个业务函数。在APIG中创建一个API分组，用来存放API。创建一个鉴权方式为自定义认证且后端为FunctionGraph的API。调试API。完成本教程后，您的公有云账户将存在以下资源：一个API分组（存放API）。一个自定义认证函数。一个业务函数。一个鉴权方式为自定义认证且后端为FunctionGraph的API。

函数工作流 FUNCTIONGRAPH 创建使用自定义认证且后端为FunctionGraph的API

ASTRO企业应用 ASTROPRO-开发自定义认证插件:配置说明

配置说明表1 配置说明参数名是否必须功能 devspore.auth.exclude-paths false 不需要认证的路径，多个规则用分号（;）分隔，优先级大于devspore.auth.auth-patterns。 devspore.auth.auth-patterns false 需要认证的路径，多个规则用分号（;）分隔。 devspore.auth.in-header false token是否在header中，默认true。 devspore.auth.token-name false token在header中的参数名，inHeader设置为true时生效，默认“X-Auth-Token”。

ASTRO企业应用 ASTROPRO 如何使用自定义认证插件

ASTRO企业应用 ASTROPRO-开发自定义认证插件:实现TokenParser接口

实现TokenParser接口 import com.huawei.devspore.plugin.spi.authentication.UserInfo; import com.huaweicloud.devspore.auth.commons.spi.TokenParser; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpServletResponse; import org.springframework.stereotype.Component; @Component public class CustomTokenParser implements TokenParser { /** * 若token定义在header中，可使用该接口，token获取根据配置由devspore-auth获取 * * @param token * @param response * @return UserInfo */ @Override public UserInfo parserToken(String token, HttpServletResponse response) { // 自定义token解析 ...... // 判断token是否过期 ...... UserInfo userInfo = new UserInfo(); // 根据解析后的token信息填充UserInfo对象 ...... return userInfo; } /** * 若token未定义在header中，使用该接口 * * @param request * @param response * @return UserInfo */ @Override public UserInfo parserToken(HttpServletRequest request, HttpServletResponse response) { // 从httpServletRequest获取token ...... // 自定义token解析 ...... // 判断token是否过期 ...... UserInfo userInfo = new UserInfo(); // 根据解析后的token信息填充UserInfo对象 ...... return userInfo; } }

ASTRO企业应用 ASTROPRO 如何使用自定义认证插件

ASTRO企业应用 ASTROPRO-开发自定义认证插件:认证配置

认证配置在配置文件中加入oauth2认证相关配置和devspore相关配置，如下： devspore: auth: exclude-paths: GET:/test # 不需要认证的路径，多个规则用;分隔 auth-patterns: /v1/** # 需要认证的路径，多个规则用;分隔 in-header: true # token是否在header中，默认true token-name: X-Auth-Token # token在header中的参数名，inHeader设置为true时生效，默认X-Auth-Token

ASTRO企业应用 ASTROPRO 如何使用自定义认证插件

ASTRO企业应用 ASTROPRO-开发自定义认证插件:实现UserStore接口

实现UserStore接口 import com.huawei.devspore.plugin.spi.authentication.UserInfo; import com.huawei.devspore.plugin.spi.authentication.UserStore; import org.springframework.stereotype.Component; @Component public class CustomUserStore implements UserStore { @Override public void setUserInfo(UserInfo userInfo) { // 自定义存储用户信息 ...... } @Override public UserInfo getUserInfo() { UserInfo userInfo = new UserInfo(); // 自定义用户信息获取 ...... return userInfo; } }

ASTRO企业应用 ASTROPRO 如何使用自定义认证插件

API网关 APIG-操作流程

操作流程创建函数创建自定义的前端函数，使用函数服务开发自定义认证。创建自定义认证创建自定义认证，类型选择“前端”，函数地址选择上一步创建的函数。创建API 安全配置中的安全认证选择APP认证，并勾选“支持双重认证”，选择上一步创建的自定义认证。创建凭据使用APP认证的API，需要在API网关中创建一个凭据，生成凭据ID和密钥对（Key、Secret）。绑定API 将创建的凭据绑定API后，才可以使用APP认证调用API。验证调用API，验证双重认证是否设置成功。父主题：使用APIG的APP认证和自定义认证实现API的双重认证

API网关 APIG 使用APIG的APP认证和自定义认证实现API的双重认证

API网关 APIG-配置API的前端自定义认证:创建用于前端自定义认证的函数

创建用于前端自定义认证的函数在使用前端自定义认证对前端请求进行认证鉴权前，您需要先在FunctionGraph创建一个函数，通过函数定义您所需的认证信息。在FunctionGraph中开发函数。下面以python2.7语言为例，函数代码需要满足如下条件：函数代码支持三种请求参数定义，格式为： Header中的请求参数：event["headers"]["参数名"] Query中的请求参数：event["queryStringParameters"]["参数名"] 您自定义的用户数据：event["user_data"] 函数代码获取的三种请求参数与API网关自定义认证中的参数关系如下所示： Header中的请求参数：对应自定义认证中参数位置为Header的身份来源，其参数值在您调用使用该前端自定义认证的API时传入 Query中的请求参数：对应自定义认证中参数位置为Query的身份来源，其参数值在您调用使用该前端自定义认证的API时传入您自定义的用户数据：对应自定义认证中的用户数据，其参数值在您创建自定义认证时输入函数的返回值不能大于1M，必须满足如下格式： { "statusCode":200, "body": "{\"status\": \"allow\", \"context\": {\"user\": \"abc\"}}" } 其中，body字段的内容为字符串格式，json解码之后为： { "status": "allow/deny", "context": { "user": "abc" } } “statusCode”字段为必选，函数服务正常且自定义认证函数代码符合规范时，statusCode的值则为自定义认证函数的响应码。调用自定义认证的API，当自定义认证函数的响应码为非200时，API网关认为函数服务异常，并返回错误码“500”，错误信息为“Internal server error”。调用自定义认证的API，如果自定义认证开启宽松模式，当自定义认证函数连接失败、返回“500”或者“503”时，自定义认证不会校验body字段里面的status字段，直接返回调用成功，同时从函数代码中获取到的context字段也为空。 “status”字段为必选，用于标识认证结果。只支持“allow”或“deny”，“allow”表示认证成功，“deny”表示认证失败。 “context”字段为可选，支持字符串类型键值对，当实例支持authorizer_context_support_num_bool特性时，键值对的值支持number类型或boolean类型，键值不支持JSON对象或数组。 context中的数据为您自定义的字段，认证通过后作为认证参数映射到API网关后端参数中，其中context中的参数名称与系统参数名称必须完全一致，且区分大小写，context中的参数名称必须以英文字母开头，支持英文大小写字母、数字、下划线和中划线，且长度为1 ~ 32个字符。前端认证通过后，context中的user的值abc映射到后端服务Header位置的test参数中。 Header中的请求参数定义代码示例： # -*- coding:utf-8 -*- import json def handler(event, context): if event["headers"].get("test")=='abc': resp = { 'statusCode': 200, 'body': json.dumps({ "status":"allow", "context":{ "user":"abcd" } }) } else: resp = { 'statusCode': 200, 'body': json.dumps({ "status":"deny", }) } return json.dumps(resp) Query中的请求参数定义代码示例： # -*- coding:utf-8 -*- import json def handler(event, context): if event["queryStringParameters"].get("test")=='abc': resp = { 'statusCode': 200, 'body': json.dumps({ "status":"allow", "context":{ "user":"abcd" } }) } else: resp = { 'statusCode': 200, 'body': json.dumps({ "status":"deny", }) } return json.dumps(resp) 用户数据定义代码示例： # -*- coding:utf-8 -*- import json def handler(event, context): if event.get("user_data")=='abc': resp = { 'statusCode': 200, 'body': json.dumps({ "status":"allow", "context":{ "user":"abcd" } }) } else: resp = { 'statusCode': 200, 'body': json.dumps({ "status":"deny", }) } return json.dumps(resp) 测试函数。在测试事件的“事件模板”中选择“apig-event-template”，根据实际情况修改后保存测试模板，单击“测试”。执行结果为“成功”时，表示测试成功。接下来您需要进入API网关界面创建前端自定义认证。

API网关 APIG 配置API的自定义认证

API网关 APIG-修改自定义认证:请求示例

请求示例更新一个前端自定义认证 { "name" : "Authorizer_demo", "type" : "FRONTEND", "authorizer_type" : "FUNC", "authorizer_uri" : "urn:fss:xx-xxx:106506b9a92342df9a5025fc12351cfc:function:defau:apigDemo_1592617458814", "network_type" : "V1", "authorizer_version" : "v1", "authorizer_alias_uri" : "urn:fss:xx-xxx-4:106506b9a92342df9a5025fc12351cfc:function:defau:apigDemo_1592617458814:!v1", "user_data" : "authorizer_test", "identities" : [ { "name" : "header", "location" : "HEADER" } ] }

API网关 APIG 专享版-自定义认证管理

API网关 APIG-修改自定义认证:响应示例

响应示例状态码： 200 OK { "name" : "Authorizer_demo", "type" : "FRONTEND", "authorizer_type" : "FUNC", "authorizer_uri" : "urn:fss:xx-xxx-4:106506b9a92342df9a5025fc12351cfc:function:defau:apigDemo_1592617458814", "network_type" : "V1", "authorizer_version" : "v1", "authorizer_alias_uri" : "urn:fss:xx-xxx-4:106506b9a92342df9a5025fc12351cfc:function:defau:apigDemo_1592617458814:!v1", "identities" : [ { "name" : "header", "location" : "HEADER" } ], "ttl" : 5, "user_data" : "authorizer_test", "id" : "0d982c1ac3da493dae47627b6439fc5c", "create_time" : "2020-07-08T03:27:52.000+0000" } 状态码： 401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码： 403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码： 404 Not Found { "error_code" : "APIG.3081", "error_msg" : "authorizer with id: 0d982c1ac3da493dae47627b6439fc5c not found" } 状态码： 500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

API网关 APIG 专享版-自定义认证管理

API网关 APIG-修改自定义认证:响应参数

响应参数状态码： 200 表5 响应Body参数参数参数类型描述 name String 自定义认证的名称。长度为3 ~ 64位的字符串，字符串由中文、英文字母、数字、“_”组成，且只能以英文或中文开头。 type String 自定义认证类型 FRONTEND：前端 BACKEND：后端不支持修改 authorizer_type String 只能为：FUNC authorizer_uri String 函数地址。 network_type String 对接函数的网络架构类型 V1：非VPC网络架构 V2：VPC网络架构 authorizer_version String 函数版本。当函数别名URN和函数版本同时传入时，函数版本将被忽略，只会使用函数别名URN authorizer_alias_uri String 函数别名地址。当函数别名URN和函数版本同时传入时，函数版本将被忽略，只会使用函数别名URN identities Array of Identity objects 认证来源 ttl Integer 缓存时间 user_data String 用户数据 ld_api_id String 自定义后端服务ID。暂不支持 need_body Boolean 是否发送body id String 自定义认证编号 create_time String 创建时间 roma_app_id String 自定义认证所属应用编号暂不支持 roma_app_name String 自定义认证所属应用名称暂不支持表6 Identity 参数参数类型描述 name String 参数名称 location String 参数位置 validation String 参数校验表达式，默认为null，不做校验状态码： 401 表7 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述状态码： 403 表8 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述状态码： 404 表9 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述状态码： 500 表10 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述

API网关 APIG 专享版-自定义认证管理

API网关 APIG-修改自定义认证:URI

URI PUT /v2/{project_id}/apigw/instances/{instance_id}/authorizers/{authorizer_id} 表1 路径参数参数是否必选参数类型描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。 authorizer_id 是 String 自定义认证的编号

API网关 APIG 专享版-自定义认证管理

API网关 APIG-修改自定义认证:请求参数

请求参数表2 请求Header参数参数是否必选参数类型描述 X-Auth-Token 是 String 用户Token。通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。表3 请求Body参数参数是否必选参数类型描述 name 是 String 自定义认证的名称。长度为3 ~ 64位的字符串，字符串由中文、英文字母、数字、“_”组成，且只能以英文或中文开头。 type 是 String 自定义认证类型 FRONTEND：前端 BACKEND：后端不支持修改 authorizer_type 是 String 只能为：FUNC authorizer_uri 是 String 函数地址。 network_type 否 String 对接函数的网络架构类型 V1：非VPC网络架构 V2：VPC网络架构 authorizer_version 否 String 函数版本。当函数别名URN和函数版本同时传入时，函数版本将被忽略，只会使用函数别名URN authorizer_alias_uri 否 String 函数别名地址。当函数别名URN和函数版本同时传入时，函数版本将被忽略，只会使用函数别名URN identities 否 Array of Identity objects 认证来源 ttl 否 Integer 缓存时间 user_data 否 String 用户数据 ld_api_id 否 String 自定义后端服务ID。暂不支持 need_body 否 Boolean 是否发送body 表4 Identity 参数是否必选参数类型描述 name 是 String 参数名称 location 是 String 参数位置 validation 否 String 参数校验表达式，默认为null，不做校验

API网关 APIG 专享版-自定义认证管理

应用与数据集成平台 ROMA CONNECT-创建自定义认证:响应参数

响应参数状态码： 201 表5 响应Body参数参数参数类型描述 name String 自定义认证的名称。长度为3 ~ 64位的字符串，字符串由中文、英文字母、数字、“_”组成，且只能以英文或中文开头。 type String 自定义认证类型 FRONTEND：前端 BACKEND：后端 authorizer_type String 自定义认证函数类型： LD：自定义后端函数 FUNC：函数服务函数 authorizer_uri String 函数地址。注意：使用自定义后端的函数API，API请求方法必须为POST，且API状态必须为已部署。 network_type String 对接函数的网络架构类型 V1：非VPC网络架构 V2：VPC网络架构注意：该字段在APIC场景下不生效缺省值：V1 authorizer_version String 函数版本。当函数别名URN和函数版本同时传入时，函数版本将被忽略，只会使用函数别名URN 最大长度：64 authorizer_alias_uri String 函数别名地址。当函数别名URN和函数版本同时传入时，函数版本将被忽略，只会使用函数别名URN identities Array of Identity objects 认证来源 ttl Integer 缓存时间 user_data String 用户数据 ld_api_id String 自定义后端服务ID。自定义认证函数类型为LD时必填 need_body Boolean 是否发送body auth_downgrade_enabled Boolean 宽松模式，连接函数鉴权服务失败或者函数鉴权服务返回5XX，网关是否接受客户端请求。缺省值：false id String 自定义认证编号 create_time String 创建时间 roma_app_id String 自定义认证所属应用编号 roma_app_name String 自定义认证所属应用名称表6 Identity 参数参数类型描述 name String 参数名称。支持数字，英文，下划线，中划线，点，且只能以数字或英文开头。最小长度：0 最大长度：32 location String 参数位置 validation String 参数校验表达式，默认为null，不做校验最大长度：1024 状态码： 400 表7 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述状态码： 401 表8 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述状态码： 403 表9 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述状态码： 404 表10 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述状态码： 500 表11 响应Body参数参数参数类型描述 error_code String 错误码 error_msg String 错误描述

应用与数据集成平台 ROMA CONNECT 自定义认证管理（V1）

云服务器内容精选

自定义认证

7*24

备案

专业服务

退订

建议反馈

售前咨询热线