authentication - 大使的 API key 授权

Question

我正在尝试弄清楚如何在 k8s 上使用 Ambassador 创建一个简单的 API key 保护代理，但似乎找不到任何相关文档。

具体来说，我只是想对其进行设置，以便它可以接受带有 API-KEY header 的请求，对其进行身份验证，如果 API-KEY 对某些客户端有效，则将其传递到我的后端。

Answer 1

我建议您执行以下操作:

1. 创建身份验证应用程序:对于每个 protected 端点，此应用程序将负责验证 Api key 。

2. 配置 Ambassador 以将请求重定向到此服务:您只需注释您的身份验证应用程序服务定义。示例:

    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: auth-app
      annotations:
        getambassador.io/config: |
          ---
          apiVersion: ambassador/v1
          kind:  AuthService
          name:  authentication
          auth_service: "auth-app:8080"
          allowed_request_headers:
          - "API-KEY"
    spec:
      type: ClusterIP
      selector:
        app: auth-app
      ports:
      - port: 8080
        name: auth-app
        targetPort: auth-app

1. 在 auth-app 中配置一个端点，该端点对应于您要验证的应用的端点。假设您有一个具有如下映射的应用:

    apiVersion: ambassador/v1
    kind:  Mapping
    name:  myapp-mapping
    prefix: /myapp/
    service: myapp:8000

然后您需要在auth-app 中有一个端点“/myapp/”。您将在那里阅读您的 API-KEY header 。如果 key 有效，则返回 HTTP 200 (OK)。然后，Ambassador 会将原始消息发送到 myapp。如果 auth-app 返回除 HTTP 200 之外的任何其他内容，Ambassador 会将该响应返回给客户端。

1. 在所需应用中绕过身份验证。例如，您可能需要一个登录应用程序，负责向客户端提供 API key 。您可以在映射中使用 bypass_auth: true 绕过这些应用的身份验证:

    apiVersion: ambassador/v1
    kind:  Mapping
    name:  login-mapping
    prefix: /login/
    service: login-app:8080
    bypass_auth: true

Check this如果您想了解更多关于 Ambassador 中的身份验证

编辑:According to this answer如果您使用 header Authorization: Bearer {base64-API-KEY} 是一个很好的做法。在 Ambassador 中，默认情况下允许使用 Authorization header ，因此您无需在 allowed_request_headers 字段中传递它。