首页
/ Apache APISIX 中从 Cookie 读取 Token 并设置 Authorization 头的实现方法

Apache APISIX 中从 Cookie 读取 Token 并设置 Authorization 头的实现方法

2025-05-15 21:35:40作者:房伟宁

背景介绍

在现代 Web 应用和 API 开发中,身份验证是一个至关重要的环节。Apache APISIX 作为一款高性能的 API 网关,提供了多种身份验证机制。其中,基于 OpenID Connect 的认证方式因其标准化和安全性而广受欢迎。

问题场景

在实际应用中,我们经常会遇到这样的需求:客户端通过 Cookie 传递访问令牌(Token),而服务端验证则需要通过标准的 Authorization 头来获取这个令牌。这种设计模式常见于:

  1. 浏览器端应用通过 HTTP-only Cookie 安全地存储令牌
  2. 需要遵循 OAuth2/OpenID Connect 规范的 API 服务
  3. 需要同时支持 Cookie 和 Header 两种认证方式的系统

解决方案

Apache APISIX 提供了灵活的插件机制来解决这类需求。我们可以利用 serverless-pre-function 插件在请求处理流程的早期阶段,从 Cookie 中提取令牌并设置到 Authorization 头中。

实现步骤

  1. 使用 serverless-pre-function 插件:这个插件允许我们在请求处理流程的早期阶段执行自定义 Lua 代码。

  2. 访问 Cookie 值:通过 ngx.var.cookie_NAME 语法可以获取指定名称的 Cookie 值。

  3. 设置请求头:使用 APISIX 核心库的 core.request.set_header 方法设置 Authorization 头。

配置示例

以下是一个完整的路由配置示例,展示了如何从名为 "token" 的 Cookie 中读取值,并将其设置为 Bearer Token:

{
  "plugins": {
    "serverless-pre-function": {
      "functions": [
        "return function (conf, ctx) local core = require(\"apisix.core\"); core.request.set_header(ctx, \"Authorization\", \"Bearer \" .. ngx.var.cookie_token); end"
      ]
    },
    "openid-connect": {
      // OpenID Connect 插件配置
    }
  },
  // 其他路由配置
}

实现原理

  1. 执行顺序:serverless-pre-function 插件默认优先级为 10000,而 openid-connect 插件优先级为 2599,这确保了我们的自定义逻辑会在认证之前执行。

  2. Lua 代码解析

    • 首先引入 APISIX 核心模块
    • 通过 ngx.var.cookie_token 获取名为 "token" 的 Cookie 值
    • 使用 core.request.set_header 方法设置 Authorization 头
    • 按照 Bearer Token 的格式拼接字符串
  3. 安全考虑:这种实现方式不会暴露 Cookie 值给后端服务,保持了前后端分离架构的安全性。

扩展应用

这种模式不仅可以用于 OpenID Connect 认证,还可以应用于:

  1. 将多种认证方式统一为标准格式
  2. 实现认证方式的降级处理(如从 Cookie 回退到 Header)
  3. 在网关层实现认证信息的转换和增强

最佳实践

  1. 错误处理:在实际生产环境中,应该添加对 Cookie 不存在的错误处理。

  2. 日志记录:建议添加适当的日志记录,便于调试和审计。

  3. 性能考虑:虽然 Lua 代码执行效率很高,但仍应保持逻辑简洁。

  4. 安全加固:可以添加对 Cookie 值的验证,防止注入攻击。

总结

通过 Apache APISIX 的插件机制,我们可以灵活地处理各种认证场景。从 Cookie 读取 Token 并设置 Authorization 头只是其中一个典型应用。这种方案既保持了浏览器端的安全性(使用 HTTP-only Cookie),又满足了标准 API 认证的要求,是现代化应用架构中的理想选择。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
165
2.05 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
60
16
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
954
562
apintoapinto
基于golang开发的网关。具有各种插件,可以自行扩展,即插即用。此外,它可以快速帮助企业管理API服务,提高API服务的稳定性和安全性。
Go
22
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.01 K
396
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
407
387
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
199
279
giteagitea
喝着茶写代码!最易用的自托管一站式代码托管平台,包含Git托管,代码审查,团队协作,软件包和CI/CD。
Go
17
0