Apache APISIX中Keycloak授权插件对查询字符串的支持问题分析

Apache APISIX作为一款高性能的API网关，提供了丰富的插件生态。其中authz-keycloak插件实现了与Keycloak授权服务的集成，但在实际使用中发现了一个与查询字符串处理相关的技术问题。

问题背景

Keycloak授权服务目前存在一个已知限制：它不支持对包含查询字符串的动态URL模式进行授权检查。当使用authz-keycloak插件并启用lazy_load_paths功能时，插件会将完整的请求URL（包括查询字符串）传递给Keycloak进行权限验证，这会导致403禁止访问的错误。

技术分析

问题的根源在于插件当前使用ctx.var.request_uri变量来构建权限检查请求，该变量包含了完整的原始请求URI及其参数。而在Keycloak的资源权限配置中，通常不需要基于查询字符串参数来进行授权决策。

深入查看APISIX的变量系统，我们发现：

• ctx.var.request_uri：包含完整的原始请求URI和所有查询参数
• ctx.var.uri：经过规范化的URI，不包含查询字符串部分

解决方案

经过实际测试验证，一个可行的解决方案是修改插件代码，使用ctx.var.uri替代ctx.var.request_uri。这种修改在不需要基于查询参数进行授权的场景下工作良好。

更完善的解决方案建议在插件中增加一个配置选项：

include_query_string = {type = "boolean", default = true}

这个配置允许用户根据实际需求选择是否包含查询字符串：

• 当设为true时（默认），保持现有行为，使用完整URI
• 当设为false时，使用规范化URI，排除查询字符串

实际影响

这个问题主要影响以下场景：

1. 使用Keycloak进行细粒度资源授权的系统
2. API接口依赖查询参数进行功能区分
3. 启用了lazy_load_paths功能的配置

对于大多数基于路径和HTTP方法进行授权的场景，排除查询字符串不会影响安全性，反而能提高授权系统的兼容性和稳定性。

最佳实践建议

在等待官方修复或功能增强期间，建议开发者：

1. 评估是否真正需要基于查询参数进行授权
2. 对于不需要查询参数授权的场景，可以考虑使用自定义插件临时解决
3. 在Keycloak资源权限配置中，避免使用包含查询参数的模式
4. 考虑将关键参数从查询字符串移到路径中（如RESTful风格）

这个问题展示了API网关与授权服务器集成时的常见挑战，也提醒我们在设计权限模型时需要综合考虑技术限制和实际需求。