ACL策略插件
策略分组规则:
1).为用户分配授权策略组
2).为api添加授权策略分组插件。
3).只有拥有api授权策略分组的用户才可以调用该api。
4).授权策略分组,必须建立在认证机制上,该策略生效的前提,api至少要开启任意一个auth认证插件。
使用教程:
1.创建一个ACL插件
如图,创建的分组,设置白名单open,黑名单dev-test,同时将这个插件应用到testACL这个api上。
2.反向验证
由于ACL必须和认证插件配合生效,我们选用基本认证basic-auth + ACL组合进行验证。
上一节基本认证 已经创建了basic-auth用户和秘钥:username=csOfBasic,password=testkongpwd。
我们使用上一节basic-auth创建的consumer进行访问:
basic-auth用户和秘钥:username=csOfBasic,password=testkongpwd
返回消息:{"message":"You cannot consume this service"}
用户是合法用户(已经通过了basic-auth认证),但没有权限访问 testBasicAuth(http://10.110.2.3:8000/test)这个api。
kong的认证和权限是独立的。
3.给用户分配open分组
上一节的用户,因为不属于ACL=open的策略分组,所以不能访问。
现在,我们为该basic-auth用户创建ACL分组,如下图:
也可直接使用curl方式为用户增加ACL策略
curl -X POST http://*.*.*.*:8001/consumers/consumerOfBasic/acls --data "group=open" //注意此处的 consumerOfBasic 和 basic-auth用户:username=csOfBasic的区别。
4.正向验证合法用户
再次执行,验证通过。返回结果如下:
来源:CSDN
作者:常乐_smile
链接:https://blog.csdn.net/li396864285/article/details/77372386