Auth_basic_kv 权限校验以及Auth Kv Http API 接口
NGINX 向云原生演进,All in OpenNJet
.需求
当前仅仅支持auth_basic_user_file,需要手工修改 file的内容增加新的用户,修改密码。 需添加一种类型: auth_basic_kv,利用kv存储用户名/密码
•key为 “auth_basic”:{prefix}:{user_name}, value 为 密码。 prefix支持变量,以便使用server_name等,方便配置。
•提供HTTP接口,实现动态增加条目,或修改密码,也支持删除
2.auth_basic_kv 指令设计
该指令可配置在main, server, location, limit_conf 块中以api_limit_except为例进行说明 auth_basic_kv指令放在 njt_http_auth_basic_module 模块中,与auth_basic_user_file 指令配置二选一,不可同时配置
| Syntax | auth_basic_kv {prefix} |
| Default | - |
| Context | main,server,location,limit_conf |
prefix 即可为变量也可为普通字符串 kv存储的实际密码格式为: Key: auth_basic:{prefix}:{user_name} Value: 密码 (采用SHA算法)
Eg:
•假设用户名为njet, 使用变量 $server_name格式,(如果实际server_name 为www.baidu.com)则kv内存实际存储为: Key: auth_basic:www.baidu.com:njet
•假设用户名为njet, 使用固定字符串test_prefix格式,则kv内存实际存储为: Key: auth_basic:test_prefix:njet
#变量格式
api_limit_except GET {
auth_basic "OpenNJet AUTH API";
auth_basic_kv $server_name;
}
#字符串格式
api_limit_except GET {
auth_basic "OpenNJet AUTH API";
auth_basic_kv test_prefix;
}
NOTE:
Http 请求到来时,如果是变量,则会将变量转化为实际的值,然后再去kv db里查找,故kv db里存储的都是实际的变量取值而不是变量
3. 密码 http api接口设计
新增一个 njt_http_auth_api_module, 同其他命令式api 模块一样(控制面通过/api 入口配置),提供http api接口,提供密码增删改功能 统一前缀: /api/v1/auth_kv/{type} type:[password|role|login] 预留,目前时就password类型操作密码, 以后可以操作role角色以及login登陆
3.1 设置密码接口:
PUT:/api/v1/auth_kv/password body如下格式:
{
"prefix": "www.baidu.com", #对应上面$server_name变量,此处是实际的变量取值
"user_name": "njet",
"password": "123456"
}
或者
{
"prefix": "test_prefix", #此处是明确的字符串前缀
"user_name": "njet",
"password": "123456"
}
| 错误码 | 错误提示 | |
|---|---|---|
| 增加成功 | 0 | success |
| 用户已存在 | 4 | user existed |
| 增加失败 | 4 | add password error |
| 参数有空值 | 3 | prefix,user_name and password should not be empty |
| 参数不合法 | 3 | 会有具体json错误 |
| 密码加密失败 | 4 | password encrypt error |
3.2 修改密码接口:
PATCH:/api/v1/auth_kv/password/{prefix}/{user_name}
#变量取值
/api/v1/auth_kv/password/www.baidu.com/njet
或者
#明确字符串前缀
/api/v1/auth_kv/password/test_prefix/njet
body如下格式:
{
"password": "123456"
}
| 错误码 | 错误提示 | |
|---|---|---|
| 修改成功 | 0 | success |
| 用户不存在 | 4 | user is not existed |
| 修改失败 | 4 | modify password error |
| 参数有空值 | 3 | prefix,user_name and password should not be empty |
| 参数不合法 | 3 | 会有具体json错误 |
| 密码加密失败 | 4 | password encrypt error |
3.3 删除密码接口:
DELETE:/api/v1/auth_kv/password/{prefix}/{user_name}
#变量取值
/api/v1/auth_kv/password/www.baidu.com/njet
或者
#明确字符串前缀
/api/v1/auth_kv/password/test_prefix/njet
返回值
| 错误码 | 错误提示 | |
|---|---|---|
| 用户成功删除 | 0 | success |
| 用户不存在 | 4 | user is not exist |
| 用户删除失败 | 4 | delete error |
4. 测试
4.1 测试配置(以控制面配置 api_limit_except块测试为例):
为range api 接口添加权限验证为例进行测试(固定字符串前缀) 为ssl api 接口添加权限验证为例进行测试(使用变量前缀)
ctrl.conf
...
load_module modules/njt_http_range_api_module.so; #以range api 设置权限验证普通字符串前缀为例测试
load_module modules/njt_http_ssl_api_module.so; #以range api 设置权限验证变量前缀为例测试
load_module modules/njt_http_auth_api_module.so; #auth kv 模块加载
...
http {
server {
listen 8081;
server_name www.test.com; #下面使用$server_name变量测试
location /api {
dyn_module_api;
api_limit_except /v1/range PUT {
auth_basic "OpenNJet range API";
auth_basic_kv test_kv; #range 使用固定前缀字符串测试
}
api_limit_except /v1/ssl PUT {
auth_basic "OpenNJet ssl API";
auth_basic_kv $server_name; #ssl 使用变量前缀测试
}
}
location /doc {
doc_api;
}
}
}
4.2 range 固定字符串前缀测试(用户名:njet 密码123456)
PUT 增加用户名密码测试 初始不存在njet用户以及密码123456 访问range api get接口,提示输入密码,输入njet/123456 , 校验不通过
通过auth 配置去配置用户名密码, njet/123456
再次访问range get 接口,输入 njet/123456, 成功验证通过
PATCH 修改密码测试
重新访问range get接口,使用 njet/12345 不通过
使用njet/654321, 验证通过
DELETE 删除密码测试 删除密码
再次访问range, 不通过
4.3 ssl 使用变量前缀测试(用户名:ssl 密码123456)
PUT 增加用户名密码测试 初始不存在ssl 用户以及密码123456 访问range ssl get接口,提示输入密码,输入ssl/123456 , 校验不通过
通过auth 配置去配置用户名密码, ssl/123456, 前缀使用www.test.com
再次访问ssl get 接口,输入 ssl/123456, 成功验证通过
PATCH 修改密码测试
重新访问ssl get接口,使用 ssl/12345 不通过
使用ssl/654321, 验证通过
DELETE 删除密码测试 删除密码
再次访问ssl, 不通过
