刚开始陷入了误区了,网上很多参考例子都是如何实现身份证验证,而且看到konga上面配置身份插件的地方基本都有
consumer一个配置项,一直纠结在这个如何通过key-auth实现指定的route或者service指定消费者才能访问。这个误区解答就是kong身份认证和权限是独立的。
也就是说我们在添加插件:
常用的身份认证插件,只能做身份验证,所有合法的消费者都可以通过就能访问,如果要针对消费者进一步控制那些人能访问,需要结合分组策略插件做控制,ACL(用户分组,还有一些其它的暂时没有研究);
ACL
策略分组规则:
1).为用户分配授权策略组
2).为api添加授权策略分组插件。
3).只有拥有api授权策略分组的用户才可以调用该api。
4).授权策略分组,必须建立在认证机制上,该策略生效的前提,api至少要开启任意一个auth认证插件。
使用方法:
1.添加消费者分组
分组名字随便取,只要对的上;
2.在route或者service添加插件
3.添加插件输入用户分组名字,比如:myCroup
最后如果不是这个分组的用户访问会返回:403的错误码 {"message":"You cannot consume this service"}