部署Nginx Plus作为API网关：Nginx

在没有某种形式的身份验证的情况下发布API以保护它们是不常见的。 NGINX Plus提供了几种保护API和验证API客户端的方法。有关基于IP地址的访问控制列表(ACL)，数字证书身份验证和HTTP基本身份验证的信息，请参阅文档。在这里，我们专注于API特定的身份验证方法。

API密钥身份验证

API密钥是客户端和API网关已知的共享密钥。它们本质上是作为长期凭证发布给API客户端的长而复杂的密码。创建API密钥很简单 - 只需编码一个随机数，如本例所示。

openssl rand -base64 18 7B5zIqmRGXmrJTFmKa99vcit 

在顶级API网关配置文件api_gateway.conf的第6行，我们包含一个名为api_keys.conf的文件，其中包含每个API客户端的API密钥，由客户端名称或其他描述标识。

map $http_apikey $api_client_name { 
 default ""; 
  
 "7B5zIqmRGXmrJTFmKa99vcit" "client_one"; 
 "QzVV6y1EmQFbbxOfRCwyJs35" "client_two"; 
 "mGcjH8Fv6U9y3BVF9H3Ypb9T" "client_six"; 
} 

API密钥在块中定义。 map指令有两个参数。第一个定义了API密钥的位置，在本例中是在$ http_apikey变量中捕获的客户端请求的apikey HTTP头。第二个参数创建一个新变量($ api_client_name)并将其设置为第一个参数与键匹配的行上的第二个参数的值。

例如，当客户端提供API密钥7B5zIqmRGXmrJTFmKa99vcit时，$ api_client_name变量设置为client_one。此变量可用于检查经过身份验证的客户端，并包含在日志条目中以进行更详细的审核。

地图块的格式很简单，易于集成到自动化工作流程中，从现有的凭证存储生成api_keys.conf文件。 API密钥身份验证由每个API的策略部分强制执行。

# Policy section 
# 
location = /_warehouse { 
 internal; 
 set $api_name "Warehouse";  
  
 if ($http_apikey = "") { 
 return 401; # Unauthorized (please authenticate) 
 } 
 if ($api_client_name = "") { 
 return 403; # Forbidden (invalid API key) 
 } 
  
 proxy_pass http://$upstream$request_uri; 
} 

（编辑：云计算网_韶关站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!