Higress 外部认证插件新增 HTTP 方法过滤功能解析

背景介绍

在微服务架构和 API 网关的使用场景中，跨域资源共享(CORS)是一个常见的需求。当开发者使用 Higress 的外部认证插件(ext-auth)时，经常会遇到需要处理预检请求(Preflight Request)的情况。预检请求是浏览器在发送实际跨域请求前自动发送的 OPTIONS 方法请求，用于确认服务器是否允许实际请求。

问题分析

传统的外部认证插件在处理跨域请求时存在一个痛点：它无法区分不同的 HTTP 方法(Method)，导致所有请求(包括预检请求)都会被转发到外部认证服务。这不仅增加了认证服务的负担，也可能导致一些不必要的认证检查。

解决方案

Higress 社区针对这一需求，在外部认证插件中新增了 HTTP 方法过滤功能。通过在插件的 match_list 配置中增加 match_rule_method 字段，开发者可以精确控制哪些 HTTP 方法的请求需要经过外部认证。

技术实现细节

新的 match_rule_method 字段支持以下配置方式：

1. 精确匹配：直接指定需要匹配的 HTTP 方法，如 GET、POST、PUT 等
2. 通配符匹配：使用 * 匹配所有方法
3. 多方法匹配：使用逗号分隔多个方法，如 "GET,POST"

配置示例：

match_list:
  - match_rule_method: "OPTIONS"
    match_rule_path: "/api/*"
    match_rule_domain: "example.com"
    skip_auth: true

使用场景

这一功能特别适用于以下场景：

1. 跨域请求处理：可以单独配置跳过 OPTIONS 方法的预检请求认证
2. RESTful API 设计：对不同操作类型(GET/POST/PUT/DELETE)实施不同的认证策略
3. 性能优化：减少不必要的认证检查，降低系统负载

最佳实践建议

1. 对于跨域场景，建议为 OPTIONS 方法配置 skip_auth: true
2. 对于敏感操作(POST/PUT/DELETE)，建议保持严格的认证检查
3. 对于只读接口(GET)，可以根据业务需求决定是否跳过认证

总结

Higress 外部认证插件的这一增强功能，为开发者提供了更细粒度的请求过滤能力，使得跨域场景下的认证处理更加灵活高效。通过合理配置 HTTP 方法过滤规则，可以显著提升系统性能并简化认证逻辑的实现。