Solo.io Gloo 网关基础认证(Basic Auth)配置指南

前言

在现代API网关的安全体系中，身份认证是最基础的防护措施之一。Solo.io Gloo网关提供了多种认证机制，其中基础认证(Basic Authentication)是最简单直接的一种方式。本文将详细介绍如何在Gloo网关中配置基础认证，保护您的API资源。

基础认证简介

基础认证是一种HTTP协议定义的标准认证方式，它要求客户端在请求头中包含经过Base64编码的用户名和密码。虽然安全性不如OAuth等现代认证协议，但在以下场景中仍然非常有用：

• 内部测试环境
• 临时API访问控制
• 小型用户群体的简单保护
• 快速原型开发阶段

环境准备

在开始配置前，我们需要准备以下环境：

1. 已安装Gloo网关企业版
2. 配置好Kubernetes集群
3. 准备一个测试用的上游服务

基础配置步骤

1. 创建上游服务

首先创建一个静态上游服务作为我们的测试目标：

apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: json-upstream
  namespace: gloo-system
spec:
  static:
    hosts:
    - addr: jsonplaceholder.typicode.com
      port: 80

2. 创建虚拟服务

接下来创建一个简单的虚拟服务，将所有请求路由到上游服务：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system
        options:
          autoHostRewrite: true

此时，任何发送到该虚拟服务的请求都会被转发到上游，无需任何认证。

3. 配置基础认证

现在我们需要创建一个AuthConfig资源来启用基础认证：

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: basic-auth
  namespace: gloo-system
spec:
  configs:
  - basicAuth:
      apr:
        users:
          user:
            salt: "TYiryv0/"
            hashedPassword: "8BvzLUO9IfGPGGsPnAgSu1"

这里有几个关键点需要注意：

1. 密码必须使用APR1格式存储，包含salt和哈希后的密码
2. 可以使用htpasswd工具生成合规的密码字符串
3. 用户名和密码对可以配置多个

4. 将认证应用到虚拟服务

更新虚拟服务配置，引用我们创建的AuthConfig：

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: auth-tutorial
  namespace: gloo-system
spec:
  virtualHost:
    domains:
      - 'foo'
    routes:
      - matchers:
        - prefix: /
        routeAction:
          single:
            upstream:
              name: json-upstream
              namespace: gloo-system
        options:
          autoHostRewrite: true      
    options:
      extauth:
        configRef:
          name: basic-auth
          namespace: gloo-system

测试认证配置

未认证请求测试

发送不带认证头的请求：

curl -v -H "Host: foo" $(glooctl proxy url)/posts/1

预期返回401 Unauthorized状态码。

认证请求测试

生成Base64编码的认证头：

echo -n "user:password" | base64

使用生成的认证头发送请求：

curl -H "Authorization: basic dXNlcjpwYXNzd29yZA==" -H "Host: foo" $(glooctl proxy url)/posts/1

此时应该能够成功获取上游服务的响应。

高级配置选项

Gloo的基础认证支持更灵活的配置方式：

1. 支持SHA1哈希算法

除了默认的APR1算法，还可以使用SHA1算法存储密码：

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: basic-auth
  namespace: gloo-system
spec:
  configs:
  - basicAuth:
      encryption:
        sha1: {}
      userList:
        users:
          user:
            salt: "TYiryv0/"
            hashedPassword: "010eb058a59f4ac5ba05639b0263cf91b4345fd6"

2. 支持Proxy-Authorization头

除了标准的Authorization头，Gloo也支持Proxy-Authorization头：

curl -H "Proxy-Authorization: basic dXNlcjpwYXNzd29yZA==" -H "Host: foo" $(glooctl proxy url)/posts/1

最佳实践建议

1. 生产环境慎用：基础认证仅适合测试或内部使用，生产环境应考虑更安全的认证方式
2. HTTPS必须：使用基础认证时，必须启用HTTPS加密通信
3. 定期轮换密码：即使使用哈希存储，也应定期更新密码
4. 最小权限原则：只为必要用户配置访问权限
5. 监控日志：定期检查认证日志，发现异常访问模式

常见问题排查

1. 认证失败：

   • 检查密码哈希格式是否正确
   • 确认salt和哈希值匹配
   • 验证Base64编码是否正确

2. 配置不生效：

   • 检查extauth pod日志
   • 确认AuthConfig引用名称和命名空间正确
   • 验证虚拟服务配置已正确更新

3. 性能问题：

   • 大量用户时考虑使用外部认证服务
   • 监控extauth pod资源使用情况

总结

通过本文，我们学习了如何在Solo.io Gloo网关中配置基础认证保护API资源。基础认证虽然简单，但在适当的场景下仍然是一个有效的安全措施。Gloo提供了灵活的配置选项，支持多种哈希算法和认证头格式，能够满足不同场景的需求。

记住，安全是一个多层次的过程，基础认证应该作为整体安全策略的一部分，而不是唯一的保护措施。