Higress AI-Proxy 插件代理 Gemini 服务认证问题分析与解决方案

2025-06-09 08:46:25作者：薛曦旖Francesca

问题背景

在 Higress 网关项目中，AI-Proxy 插件作为人工智能服务的代理组件，为开发者提供了统一接入多种 AI 模型的能力。近期有开发者反馈，在使用 AI-Proxy 插件代理 Google Gemini 服务时遇到了认证失败的问题，具体表现为返回 401 未授权错误。

问题现象

开发者配置 AI-Proxy 插件代理 Gemini 服务后，通过 Higress 网关发送请求时收到如下错误响应：

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials...",
    "status": "UNAUTHENTICATED"
  }
}

值得注意的是，当开发者直接使用相同的 API Key 调用 Gemini 官方接口时，请求能够正常返回结果。此外，当切换到其他兼容接口时，相同的配置也能正常工作。

问题分析

经过技术团队深入排查，发现问题根源在于请求头处理机制上。Gemini 服务的认证机制与其他 AI 服务有所不同：

认证方式差异：Gemini 官方接口要求使用 x-goog-api-key 请求头传递 API Key，而 Higress 网关默认会在请求中添加 Authorization: Bearer 头。
请求头冲突：当 AI-Proxy 插件转发请求到 Gemini 服务时，保留了原始的 Authorization 头，而 Gemini 服务端会严格校验请求头，发现不支持的认证方式后直接返回 401 错误。
兼容性问题：其他兼容接口能够正常工作是因为它对请求头的处理更为宽松，而 Gemini 服务则对认证方式有更严格的要求。

解决方案

针对这一问题，Higress 技术团队采取了以下解决方案：

请求头优化：在 AI-Proxy 插件处理 Gemini 服务请求时，主动移除原始请求中的 Authorization 头，避免与 Gemini 服务的认证机制产生冲突。
版本更新：团队发布了更新后的 AI-Proxy 插件镜像（higress-registry.cn-hangzhou.cr.aliyuncs.com/plugins/ai-proxy:latest），其中包含了针对 Gemini 服务的特殊处理逻辑。
配置建议：开发者在使用 AI-Proxy 代理 Gemini 服务时，无需在客户端请求中添加 Authorization 头，插件会自动处理认证信息的传递。

验证结果

更新后的 AI-Proxy 插件经测试已能正常代理 Gemini 服务。测试请求示例如下：

curl --location --request POST 'http://localhost:10000/v1/chat/completions' \
--header 'Content-Type: application/json' \
--data-raw '{
  "model": "gemini-2.0-flash",
  "messages": [
    {
      "role": "user",
      "content": "你好，你是谁？"
    }
  ],
  "stream": false
}'

成功返回结果：

{
  "id": "chatcmpl-796e4c33-b39b-4dbe-a8b7-b4dd7b7d1cdc",
  "choices": [
    {
      "index": 0,
      "message": {
        "role": "assistant",
        "content": "我是一个大型语言模型，由 Google 训练。\n"
      },
      "finish_reason": "stop"
    }
  ],
  "created": 1746930262,
  "model": "gemini-2.0-flash",
  "object": "chat.completion",
  "usage": {
    "prompt_tokens": 5,
    "completion_tokens": 12,
    "total_tokens": 17
  }
}