Apache APISIX 中从 Cookie 读取 Token 并设置 Authorization 头的实现方法

背景介绍

在现代 Web 应用和 API 开发中，身份验证是一个至关重要的环节。Apache APISIX 作为一款高性能的 API 网关，提供了多种身份验证机制。其中，基于 OpenID Connect 的认证方式因其标准化和安全性而广受欢迎。

问题场景

在实际应用中，我们经常会遇到这样的需求：客户端通过 Cookie 传递访问令牌（Token），而服务端验证则需要通过标准的 Authorization 头来获取这个令牌。这种设计模式常见于：

1. 浏览器端应用通过 HTTP-only Cookie 安全地存储令牌
2. 需要遵循 OAuth2/OpenID Connect 规范的 API 服务
3. 需要同时支持 Cookie 和 Header 两种认证方式的系统

解决方案

Apache APISIX 提供了灵活的插件机制来解决这类需求。我们可以利用 serverless-pre-function 插件在请求处理流程的早期阶段，从 Cookie 中提取令牌并设置到 Authorization 头中。

实现步骤

1. 使用 serverless-pre-function 插件：这个插件允许我们在请求处理流程的早期阶段执行自定义 Lua 代码。

2. 访问 Cookie 值：通过 ngx.var.cookie_NAME 语法可以获取指定名称的 Cookie 值。

3. 设置请求头：使用 APISIX 核心库的 core.request.set_header 方法设置 Authorization 头。

配置示例

以下是一个完整的路由配置示例，展示了如何从名为 "token" 的 Cookie 中读取值，并将其设置为 Bearer Token：

{
  "plugins": {
    "serverless-pre-function": {
      "functions": [
        "return function (conf, ctx) local core = require(\"apisix.core\"); core.request.set_header(ctx, \"Authorization\", \"Bearer \" .. ngx.var.cookie_token); end"
      ]
    },
    "openid-connect": {
      // OpenID Connect 插件配置
    }
  },
  // 其他路由配置
}

实现原理

1. 执行顺序：serverless-pre-function 插件默认优先级为 10000，而 openid-connect 插件优先级为 2599，这确保了我们的自定义逻辑会在认证之前执行。

2. Lua 代码解析：

   • 首先引入 APISIX 核心模块
   • 通过 ngx.var.cookie_token 获取名为 "token" 的 Cookie 值
   • 使用 core.request.set_header 方法设置 Authorization 头
   • 按照 Bearer Token 的格式拼接字符串

3. 安全考虑：这种实现方式不会暴露 Cookie 值给后端服务，保持了前后端分离架构的安全性。

扩展应用

这种模式不仅可以用于 OpenID Connect 认证，还可以应用于：

1. 将多种认证方式统一为标准格式
2. 实现认证方式的降级处理（如从 Cookie 回退到 Header）
3. 在网关层实现认证信息的转换和增强

最佳实践

1. 错误处理：在实际生产环境中，应该添加对 Cookie 不存在的错误处理。

2. 日志记录：建议添加适当的日志记录，便于调试和审计。

3. 性能考虑：虽然 Lua 代码执行效率很高，但仍应保持逻辑简洁。

4. 安全加固：可以添加对 Cookie 值的验证，防止注入攻击。

总结

通过 Apache APISIX 的插件机制，我们可以灵活地处理各种认证场景。从 Cookie 读取 Token 并设置 Authorization 头只是其中一个典型应用。这种方案既保持了浏览器端的安全性（使用 HTTP-only Cookie），又满足了标准 API 认证的要求，是现代化应用架构中的理想选择。