聊聊APISIX Ingress 认证使用

2025-10-11

身份认证在日常生活当中是非常常见的一项功能，大家平时基本都会接触到，Apache APISIX 作为一个 API 网关，目前已开启与各种插件功能的适配合作，插件库也比较丰富，目前已经可与大量身份认证相关的插件进行搭配处理，如下图所示。

基础认证插件比如 Key-Auth、Basic-Auth，他们是通过账号密码的方式进行认证。复杂一些的认证插件如 Hmac-Auth、JWT-Auth，如 Hmac-Auth 通过对请求信息做一些加密，生成一个签名，当 API 调用方将这个签名携带到 APISIX，APISIX 会以相同的算法计算签名，只有当签名方和应用调用方认证相同时才予以通过。其他则是一些通用认证协议和联合第三方组件进行合作的认证协议，例如 OpenID-Connect 身份认证机制，以及 LDAP 认证等。

APISIX 还可以针对每一个 Consumer (即调用方应用)去做不同级别的插件配置。如下图所示，我们创建了两个消费者 Consumer A、Consumer B，我们将 Consumer A 应用到应用1，则后续应用1的访问将会开启 Consumer A 的这部分插件，例如 IP 黑白名单，限制并发数量等。将 Consumer B 应用到应用2 ，由于开启了 http-log 插件，则应用2的访问日志将会通过 HTTP 的方式发送到日志系统进行收集。

basic-auth

首先我们来了解下最简单的基本认证在 APISIX 中是如何使用的。basic-auth 是一个认证插件，它需要与 Consumer 一起配合才能工作。添加 Basic Auth 到一个 Service 或 Route，然后 Consumer 将其用户名和密码添加到请求头中以验证其请求。

首先我们需要在 APISIX Consumer 消费者中增加 basic auth 认证配置，为其指定用户名和密码，我们这里在 APISIX Ingress 中，可以通过 ApisixConsumer 资源对象进行配置，比如这里我们为前面的 nexus 实例应用添加一个基本认证，如下所示：

复制# nexus-basic-auth.yaml

apiVersion: apisix.apache.org/v2alpha1

kind: ApisixConsumer

metadata:

spec:

authParameter:

basicAuth:

value:

username: admin

password: admin3211.2.3.4.5.6.7.8.9.10.11.

ApisixConsumer 资源对象中只需要配置 authParameter 认证参数即可，目前只支持 BasicAuth 与 KeyAuth 两种认证类型，在 basicAuth 下面可以通过 value 可直接去配置相关的 username 和 password，也可以直接使用 Secret 资源对象进行配置，比起明文配置会更安全一些。

然后在 ApisixRoute 中添加 authentication，将其开启并指定认证类型即可，就可以实现使用 Consumer 去完成相关配置认证，如下所示：

复制apiVersion: apisix.apache.org/v2beta2

kind: ApisixRoute

metadata:

namespace: default

spec:

http:

- name: root

match:

hosts:

- ops.qikqiak.com

paths:

- "/nexus*"

- "/static/*"

- "/service/*"

plugins:

- name: proxy-rewrite

enable: true

config:

regex_uri: ["^/nexus(/|$)(.*)", "/$2"]

- name: redirect

enable: true

config:

regex_uri: ["^(/nexus)$", "$1/"]

- name: redirect

enable: true

config:

http_to_https: true

backends:

- serviceName: nexus

servicePort: 8081

authentication: # 开启 basic auth 认证

enable: true

type: basicAuth1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.

直接更新上面的资源即可开启 basic auth 认证了，在 Dashboard 上也可以看到创建了一个 Consumer：

然后我们可以进行如下的测试来进行验证：

复制# 缺少 Authorization header

➜ curl -i http://ops.qikqiak.com/nexus/

HTTP/1.1 401 Unauthorized

Date: Tue, 11 Jan 2022 07:44:49 GMT

Content-Type: text/plain; charset=utf-8

Transfer-Encoding: chunked

Connection: keep-alive

WWW-Authenticate: Basic realm=.

Server: APISIX/2.10.0

{"message":"Missing authorization in request"}

# 用户名不存在

➜ curl -i -ubar:bar http://ops.qikqiak.com/nexus/

HTTP/1.1 401 Unauthorized

Date: Tue, 11 Jan 2022 07:45:07 GMT

Content-Type: text/plain; charset=utf-8

Transfer-Encoding: chunked

Connection: keep-alive

Server: APISIX/2.10.0

{"message":"Invalid user key in authorization"}

# 成功请求

➜ curl -uadmin:admin321 http://ops.qikqiak.com/nexus/

301 Moved Permanently

openresty</html>1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.

consumer-restriction

不过这里大家可能会有一个疑问，在 Route 上面我们并没有去指定具体的一个 Consumer，然后就可以进行 Basic Auth 认证了，那如果我们有多个 Consumer 都定义了 Basic Auth 岂不是都会生效的?确实是这样的，这就是 APISIX 的实现方式，所有的 Consumer 对启用对应插件的 Route 都会生效的，如果我们只想 Consumer A 应用在 Route A、Consumer B 应用在 Route B 上面的话呢?要实现这个功能就需要用到另外一个插件：consumer-restriction。

consumer-restriction 插件可以根据选择的不同对象做相应的访问限制，该插件可配置的属性如下表所示：

其中的 type 字段是个枚举类型，它可以是 consumer_name 或 service_id，分别代表以下含义：

consumer_name：把 consumer 的 username 列入白名单或黑名单(支持单个或多个 consumer)来限制对服务或路由的访问。service_id：把 service 的 id 列入白名单或黑名单(支持一个或多个 service)来限制 service 的访问，需要结合授权插件一起使用。

比如现在我们有两个 Consumer：jack1 和 jack2，这两个 Consumer 都配置了 Basic Auth 认证，配置如下所示：

Conumer jack1 的认证配置：

复制➜ curl http://192.168.31.46/apisix/admin/consumers -H X-API-KEY: edd1c9f034335f136f87ad84b625c8f1 -X PUT -i -d

{

"username": "jack1",

"plugins": {

"basic-auth": {

"username":"jack2019",

"password": "123456"

}

}1.2.3.4.5.6.7.8.9.10.

Conumer jack2 的认证配置：

复制

➜ curl http://192.168.31.46/apisix/admin/consumers -H X-API-KEY: edd1c9f034335f136f87ad84b625c8f1 -X PUT -i -d

{

"username": "jack2",

"plugins": {

"basic-auth": {

"username":"jack2020",

"password": "123456"

}

}1.2.3.4.5.6.7.8.9.10.11.

现在我们只想给一个 Route 路由对象启用 jack1 这个 Consumer 的认证配置，则除了启用 basic-auth 插件之外，还需要在 consumer-restriction 插件中配置一个 whitelist 白名单(当然配置黑名单也是可以的)，如下所示：

复制➜ curl http://192.168.31.46/apisix/admin/routes/1 -H X-API-KEY: edd1c9f034335f136f87ad84b625c8f1 -X PUT -d

{

"uri": "/index.html",

"upstream": {

"type": "roundrobin",

"nodes": {

"127.0.0.1:1980": 1

}

"plugins": {

"basic-auth": {},

"consumer-restriction": {

"whitelist": [

"jack1"

]

}

}1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.

然后我们使用 jack1 去访问我们的路由进行验证：

复制➜ curl -u jack2019:123456 http://127.0.0.1:9080/index.html -i

HTTP/1.1 200 OK

...1.2.3.

正常使用 jack2 访问就会认证失败了：

复制➜ curl -u jack2020:123456 http://127.0.0.1:9080/index.html -i

HTTP/1.1 403 Forbidden

...

{"message":"The consumer_name is forbidden."}1.2.3.4.

所以当你只想让一个 Route 对象关联指定的 Consumer 的时候，记得使用 consumer-restriction 插件。

jwt-auth

在平时的应用中可能使用 jwt 认证的场景是最多的，同样在 APISIX 中也有提供 jwt-auth 的插件，它同样需要与 Consumer 一起配合才能工作，我们只需要添加 JWT Auth 到一个 Service 或 Route，然后 Consumer 将其密钥添加到查询字符串参数、请求头或 cookie 中以验证其请求即可。

由于目前 ApisixConsumer 还不支持 jwt-auth 配置，所以需要我们去 APISIX 手动创建一个 Consumer，可以通过 APISIX 的 API 进行创建，当然也可以直接通过 Dashboard 页面操作。在 Dashboard 消费者页面点击创建消费者：

点击下一步进入插件配置页面，这里我们需要启用 jwt-auth 这个插件：

在插件配置页面配置 jwt-auth 相关属性，可参考插件文档 https://apisix.apache.org/zh/docs/apisix/plugins/jwt-auth/:

可配置的属性如下表所示：

然后提交即可创建完成 Consumer，然后我们只需要在需要的 Service 或者 Route 上开启 jwt-auth 即可，比如同样还是针对上面的 nexus 应用，我们只需要在 ApisixRoute 对象中启用一个 jwt-auth 插件即可：

复制

apiVersion: apisix.apache.org/v2beta2

kind: ApisixRoute

metadata:

namespace: default

spec:

http:

- name: root

match:

hosts:

- ops.qikqiak.com

paths:

- "/nexus*"

- "/static/*"

- "/service/*"

plugins:

- name: jwt-auth

enable: true

- name: redirect

enable: true

config:

http_to_https: true

- name: redirect

enable: true

config:

regex_uri: ["^(/nexus)$", "$1/"]

- name: proxy-rewrite

enable: true

config:

regex_uri: ["^/nexus(/|$)(.*)", "/$2"]

backends:

- serviceName: nexus

servicePort: 80811.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.

需要注意的是 authentication 属性也不支持 jwt-auth，所以这里我们通过 plugins 进行启用，重新更新上面的对象后我们同样来测试验证下：

复制➜ curl -i http://ops.qikqiak.com/nexus/

HTTP/1.1 401 Unauthorized

Date: Tue, 11 Jan 2022 08:54:30 GMT

Content-Type: text/plain; charset=utf-8

Transfer-Encoding: chunked

Connection: keep-alive

Server: APISIX/2.10.0

{"message":"Missing JWT token in request"}1.2.3.4.5.6.7.8.9.

要正常访问我们的服务就需要先进行登录获取 jwt-auth 的 token，通过 APISIX 的 apisix/plugin/jwt/sign 可以获取：

复制➜ curl -i http://192.168.31.46/apisix/plugin/jwt/sign\?key\=user-key

HTTP/1.1 200 OK

Date: Tue, 11 Jan 2022 09:01:29 GMT

Content-Type: text/plain; charset=utf-8

Transfer-Encoding: chunked

Connection: keep-alive

Server: APISIX/2.10.0

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY0MTk3ODA4OX0.rdzMxM4QAKI444c3SC3u3ZqfW9rKnsqrdorLHCGqrQg1.2.3.4.5.6.7.8.9.

要注意上面我们在获取 token 的时候需要传递创建消费者的标识 key，因为可能有多个不同的 Consumer 消费者，然后我们将上面获得的 token 放入到 Header 头中进行访问：

复制➜ curl -i http://ops.qikqiak.com/nexus/ -H Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY0MTk3ODA4OX0.rdzMxM4QAKI444c3SC3u3ZqfW9rKnsqrdorLHCGqrQg

HTTP/1.1 200 OK

Content-Type: text/html; charset=utf-8

Content-Length: 8802

Connection: keep-alive

......

Expires: 0

Server: APISIX/2.10.0

......1.2.3.4.5.6.7.8.9.10.11.12.13.

可以看到可以正常访问。同样也可以放到请求参数中验证：

复制➜ curl -i http://ops.qikqiak.com/nexus/?jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY0MTk3ODA4OX0.rdzMxM4QAKI444c3SC3u3ZqfW9rKnsqrdorLHCGqrQg

HTTP/1.1 200 OK

......1.2.3.

此外还可以放到 cookie 中进行验证：

复制➜ curl -i http://ops.qikqiak.com/nexus/ --cookie jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY0MTk3ODA4OX0.rdzMxM4QAKI444c3SC3u3ZqfW9rKnsqrdorLHCGqrQg

HTTP/1.1 200 OK

......1.2.3.

THE END