- 微信
- 微博
  
  分享文章到微博
- 复制链接
  
  复制链接到剪贴板

Kong 基础认证插件（ Basic auth ）

拿我格子衫来发表于 2022/03/18 00:16:51 2022/03/18

【摘要】 Kong 基础认证插件（ Basic auth ） Kong 网关有许许多多的插件，接下来我们首先来看下 AUTHENTICATION模块下的基础认证（ Basic Auth ）插件。下文将会...

Kong 基础认证插件（ Basic auth ）

Kong 网关有许许多多的插件，接下来我们首先来看下 AUTHENTICATION模块下的基础认证（ Basic Auth ）插件。下文将会详细讲解其实现

什么是 Basic Auth?

基本认证是基于 HTTP 的安全认证机制。

Basic Auth 的流程。

浏览器的 Basic Auth 类似于你日常的用户名密码登陆。其流程类似为：


C => 你好，我想进入这家酒吧。
S => 你好，我们这家酒吧需要会员才能进入。
C => （ 拿出证件 ） 给，这是我的证件。
S => 请进，尊贵的会员。


  
 
  1
  2
  3
  4
  5
  6

哈哈，就是这么简单。

映射到 HTTP 中为：

客户端调用服务端的一个被安全限制的接口来获取数据。

Client Request

GET /security/somethings  HTTP/1.1

  
 
  1
  2
  3

服务端当解析请求时发现该请求需要访问受限的。则拒绝该请求，并返回一些信息。其中 www-authenticate 的 Basic 代表了需要基本认证。Realm 代表了安全区的名称。

Server Response
HTTP/1.1 401 Unauthorized
....
www-authenticate: Basic realm="xxxx"

  
 
  1
  2
  3
  4

收到了 401 请求的客户端带上了 Authorization Basic 和密码。

Client Request

GET /security/somethings  HTTP/1.1
Authorization: Basic bmFtZTpwYXNzd29yZA==

  
 
  1
  2
  3
  4

服务端效验了用户名和密码后返回响应的资源。

Server Response
HTTP/1.1 200 OK
....
Content-type: application/json

  
 
  1
  2
  3
  4

Basic Auth 优缺点

这就是简单的 BasicAuth 简单验权机制。下面我们就来说一说它的优缺点。

【优点】

简单、快捷、方便配置
浏览器可以提供登陆窗口供登陆

【缺点】

最大的问题就是不安全。先不说原生实现仅仅是将用户名密码使用 Base64 加密，该机制更无法防止类似重放攻击和中间人攻击。

重放攻击 (Replay Attacks)

又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。

中间人攻击 ( Man-in-the-middle attack，缩写：MITM )

是指攻击者与通讯的两端分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。