微服务引擎 CSE-访问控制:创建鉴权规则

时间:2023-11-30 19:11:09

创建鉴权规则

应用网关最多支持创建5条鉴权规则,最多可同时启用1条鉴权规则。

  1. 登录微服务引擎控制台
  2. 在左侧导航栏选择“应用网关 ”。
  3. 在左侧导航栏选择“访问控制”。
  4. 单击“创建鉴权规则”,在弹出框中配置如下参数,其中带*为必填参数。

    表1 鉴权规则配置参数

    类别

    参数

    说明

    鉴权类型

    *鉴权规则名称

    自定义输入合法的鉴权规则名称。

    鉴权类型

    当前只支持自定义鉴权。

    *鉴权服务

    可在下拉框中选择已接入该应用网关的服务。

    *端口

    • 当“鉴权服务”选择的服务,其来源为 CS E Nacos引擎、CSE ServiceComb引擎和CCE服务时,需要配置此参数。
    • 当“鉴权服务”选择的服务,其来源为固定地址时,不存在此参数。

    *鉴权接口

    鉴权服务的接口路径。网关访问的实际鉴权服务路径为:此处配置的接口路径拼接客户端请求路径。例如此处配置的接口路径为“/auth ”,客户端请求路径为“/hello”,则网关访问的鉴权服务路径为“/auth/hello”。

    请求中允许携带的请求头

    此处配置的请求头,如果出现在客户端请求中,则会添加到鉴权请求的请求头里。请至少添加鉴权token所在的请求头。Host、Method、Path和Content-Length请求头会被默认添加,您无需手动添加。

    请求中是否允许携带Body

    可单击设置允许携带Body,输入Body最大字节数,

    响应中允许保留的响应头

    此处配置的响应头如果出现在鉴权响应中,则会添加到客户端请求的请求头中。需要注意,客户端请求本身携带相同字段的请求头会被覆盖。

    超时时间

    网关等待鉴权服务响应的最大时间,超时后,会认为鉴权服务不可用。

    鉴权服务容错模式

    选择鉴权服务容错模式,当前支持:

    • 全部拦截:当鉴权服务不可用时(鉴权服务建立连接失败、超时或者返回5xx请求),网关拦截客户端请求。
    • 全部放通:当鉴权服务不可用时(鉴权服务建立连接失败、超时或者返回5xx请求),网关放通客户端请求。

    规则条件

    选择鉴权模式

    当前支持的鉴权模式为黑名单模式,即符合条件的需要鉴权,其余不需要鉴权。

    匹配规则

    单击“ 新增匹配规则”可添加匹配规则,选择 域名 、设置服务地址、选择请求方法,添加请求头。服务地址支持前缀匹配、精确匹配和正则匹配:

    • 前缀匹配:以前缀作为匹配条件。注意末尾要加上/*,如输入参数为/opt/*,则匹配以/opt开头的所有服务地址。
    • 精确匹配:即完全匹配,如输入参数为/opt,则匹配路径等于/opt的所有服务地址。
    • 正则匹配:以正则表达式作为匹配条件,如输入参数为/o[opt][opt],则匹配符合该正则语法的所有服务地址,如/opt、/ooo、/otp等。正则语法规范见RE2正则语法规范
    说明:

    多个匹配规则间是“或”的关系。最多允许配置10条匹配规则。单个匹配规则内是“与”的关系。

  5. 单击“确定”,鉴权规则创建完成,则在鉴权规则列表显示新创建的鉴权规则。

    • 对于新创建的鉴权规则,默认是关闭状态,可在鉴权规则的“启用状态”列,单击,在弹出确认框中,单击“确认”,则该条鉴权规则为启用状态。
    • 对于已启用的鉴权规则,可在鉴权规则的“启用状态”列,单击,在弹出确认框中,单击“确认”,则关闭该条鉴权规则。

support.huaweicloud.com/usermanual-cse/cse_03_0088.html