剛開始陷入了誤區了,網上很多參考例子都是如何實現身份證驗證,而且看到konga上面配置身份插件的地方基本都有
consumer一個配置項,一直糾結在這個如何通過key-auth實現指定的route或者service指定消費者才能訪問。這個誤區解答就是kong身份認證和權限是獨立的。
也就是說我們在添加插件:
常用的身份認證插件,只能做身份驗證,所有合法的消費者都可以通過就能訪問,如果要針對消費者進一步控制那些人能訪問,需要結合分組策略插件做控制,ACL(用戶分組,還有一些其它的暫時沒有研究);
ACL
策略分組規則:
1).為用戶分配授權策略組
2).為api添加授權策略分組插件。
3).只有擁有api授權策略分組的用戶才可以調用該api。
4).授權策略分組,必須建立在認證機制上,該策略生效的前提,api至少要開啟任意一個auth認證插件。
使用方法:
1.添加消費者分組
分組名字隨便取,只要對的上;
2.在route或者service添加插件
3.添加插件輸入用戶分組名字,比如:myCroup
最后如果不是這個分組的用戶訪問會返回:403的錯誤碼 {"message":"You cannot consume this service"}