Kong网关中key-auth插件隐藏凭证时查询参数截断问题分析

问题背景

在Kong网关3.7.1版本中，当使用key-auth插件并启用hide_credentials选项时，发现了一个影响查询参数传递的问题。具体表现为：当请求中包含超过100个查询参数时，只有前100个参数会被正确传递到上游服务，其余参数会被截断丢失。

技术原理分析

这个问题的根源在于Kong内部处理查询参数的方式。当key-auth插件启用hide_credentials选项时，它会执行以下操作流程：

1. 首先通过kong.request.get_query()获取所有查询参数
2. 从查询参数中移除API密钥
3. 使用kong.service.request.set_query()重新设置修改后的查询参数

问题出在第一步获取查询参数的过程中。Kong默认使用lua_max_uri_args配置参数来限制解析的查询参数数量，默认值为100。这意味着无论实际请求中包含多少个查询参数，Kong只会解析前100个。

影响范围

这个问题不仅影响key-auth插件，还可能影响其他采用类似处理逻辑的插件。具体表现为：

• 当请求包含大量查询参数时(超过100个)
• 且使用了会修改查询参数的插件
• 特别是当API密钥作为查询参数且位于第100个参数之后时，可能导致认证失败

解决方案探讨

目前社区已经提出了几种解决方案思路：

1. 调整配置参数：可以通过修改lua_max_uri_args配置值来增加解析的查询参数数量上限。但这只是一个临时解决方案，因为：

   • 参数值有上限限制(不超过1000)
   • 无法从根本上解决问题
   • 可能带来额外的性能开销

2. 底层架构改进：更彻底的解决方案是改进Kong的查询参数处理机制：

   • 使用更高效的解析库(如lua-resty-ada)
   • 实现不受参数数量限制的查询参数获取方法
   • 确保参数处理过程不会丢失任何数据

3. 临时规避方案：在实际应用中，可以考虑：

   • 将API密钥放在请求头而非查询参数中
   • 减少不必要的查询参数数量
   • 将多个参数合并为JSON格式的单个参数

最佳实践建议

基于当前情况，建议开发者采取以下措施：

1. 对于关键业务，避免在查询参数中传递API密钥
2. 监控查询参数数量，确保不超过系统限制
3. 关注Kong后续版本更新，及时应用相关修复
4. 在必须使用大量查询参数的场景下，考虑使用POST请求替代GET请求

未来展望

Kong开发团队已经意识到这个问题，并正在考虑更彻底的解决方案。未来版本可能会：

• 引入基于lua-resty-ada的查询参数处理机制
• 提供不受限制的单个参数获取方法
• 优化整体参数处理性能
• 保持向后兼容性的同时解决现有问题

这个问题反映了在高性能API网关设计中，如何在安全、性能和功能完整性之间取得平衡的挑战。随着Kong的持续发展，相信这类问题将得到更好的解决。