Kong网关中key-auth插件隐藏凭证时查询参数截断问题分析

问题背景

在使用Kong网关3.7.1版本时，发现当配置key-auth插件并启用hide_credentials选项时，上游服务只能接收到前100个查询参数，超过100个之后的参数全部丢失。这个问题会影响需要传递大量查询参数的API请求。

技术原理分析

key-auth插件工作机制

key-auth插件是Kong网关提供的一个基础认证插件，用于通过API密钥进行请求认证。当配置hide_credentials选项为true时，插件会从请求中移除API密钥信息，防止敏感信息泄露到上游服务。

参数截断的根本原因

问题根源在于Kong内部处理查询参数的方式：

1. key-auth插件通过kong.request.get_query()方法获取查询参数
2. 该方法默认只返回前100个参数（可通过lua_max_uri_args配置调整）
3. 当插件修改并重新设置查询参数时，超过限制的参数就被丢弃

底层限制机制

Kong基于OpenResty实现，在处理URI参数时存在以下限制：

• 默认最大URI参数数量为100（lua_max_uri_args配置项）
• 最大可配置值为1000，但不能超过这个上限
• 这种限制是为了防止恶意请求消耗过多资源

影响范围

这个问题不仅影响key-auth插件，任何需要处理查询参数的插件都可能遇到类似问题，特别是：

• 需要修改查询参数的插件
• 需要检查特定查询参数的认证插件
• 需要对请求进行转换的插件

解决方案探讨

临时解决方案

1. 调整lua_max_uri_args配置值，增大允许的参数数量
2. 避免在查询参数中传递过多参数，考虑改用请求体

长期改进方向

Kong开发团队正在考虑以下改进：

1. 使用更高效的参数解析库（如lua-resty-ada）
2. 提供不受参数数量限制的专用查询参数获取方法
3. 重构参数处理逻辑，避免中间处理导致数据丢失

最佳实践建议

对于需要使用key-auth插件并隐藏凭证的场景，建议：

1. 优先使用请求头传递API密钥，而非查询参数
2. 如果必须使用查询参数，控制参数数量在安全范围内
3. 对于需要大量参数的API，考虑改用POST请求
4. 定期关注Kong版本更新，及时获取相关修复

总结

Kong网关在处理大量查询参数时存在默认限制，这在特定场景下可能导致数据丢失。理解这一限制的底层原理，可以帮助开发者更好地设计API和使用网关功能。随着Kong的持续发展，这一问题有望在后续版本中得到根本性解决。