menu
基于 Kong 的 OAuth2.0 的设计

1. Kong OAuth 2.0 认证流程

1.1 相关角色

  1. 第三方应用:实际想要访问 API 的应用,需要在 Kong 上注册,定义自己的访问口令和回调地址。
  2. 用户:实际的第三方应用的使用者,和 API 访问权限的授权主体。
  3. 认证服务:基于 Kong 搭建的认证服务,主要完成用户信息的部分,也就是登录和授权提示页面。它作为第三方应用和 Kong 之间的中间桥梁,因为 Kong 不直接接管这些信息。
  4. Kong:Api Gateway,完整 API 的认证和应用注册等,将请求向后端转发。
  5. API 提供者:实际的 API 提供者,与 Kong 交互,外部无法直接访问。

Kong 的认证流程如上图所示:

1.2 认证流程

  1. Client 为第三方应用,当它想访问某些需要用户授权的用户信息。
  2. Client 将用户跳转至 Kong 上的认证服务来认证应用。
  3. 如果认证服务发现用户未登录,那么将会跳转至登录界面。
  4. 在登录界面完成登录,将会跳转至认证服务的授权页面,显示第三方应用想要获取的用户信息,用户可以确定是否允许第三方应用访问。
  5. 用户确认,认证服务提交信息至 Kong 上完成注册认证流程,Kong 返回认证口令和跳转地址给认证服务。
  6. 认证服务将用户跳转至 第三方应用 在 Kong 上定义的回调地址,传递认证口令。
  7. 第三方应用从回调地址读取认证口令,请求 Kong,获取实际的信息访问口令。
  8. 应用通过每次请求传递附加上访问口令来调用 API。

2. Kong OAuth 2.0 问题,开发需求

一个完整的 OAuth 2.0 认证需要好几步,然而,Kong 只完成最后几步,实际使用时需要开发上层的服务。

用户登录模块用户系统已经实现,登录方式为使用 SDK 传入 Session ID 获取用户登录信息,并不是很优雅。但是结合已有的登录服务,只需写一个登录界面,授权确认界面和与相关的交互服务。

3. 基于 Kong 和 用户系统的 OAuth 2.0 设计与实现

3.1 认证流程(流程图)

4. 交互信息,协议,格式

4.1. 协议定义

(1)、新增 API

# 请求
$ curl -X POST http://127.0.0.1:8001/apis --data "name=httpbin" \
--data "upstream_url=https://httpbin.org" \
--data "request_host=yufan.me" \
--data "preserve_host=true"
// 响应
{
    "upstream_url": "https://httpbin.org", 
    "id": "b00e2c79-a87a-4688-b16f-7b2034171b13", 
    "created_at": 1456299654000, 
    "preserve_host": true, 
    "name": "httpbin", 
    "request_host": "yufan.me"
}

(2)、API 配置 oAuth 认证

$ curl -X POST http://127.0.0.1:8001/apis/b00e2c79-a87a-4688-b16f-7b2034171b13/plugins \
--data "name=oauth2" \
--data "config.scopes=email,phone,address" \
--data "config.mandatory_scope=true"
{
    "api_id": "b00e2c79-a87a-4688-b16f-7b2034171b13", 
    "id": "a21450ac-4aa6-459e-9678-21275fc15d6f", 
    "created_at": 1456299868000, 
    "enabled": true, 
    "name": "oauth2", 
    "config": {
        "mandatory_scope": true, 
        "token_expiration": 7200, 
        "enable_implicit_grant": false, 
        "scopes": [
            "email", 
            "phone", 
            "address"
        ], 
        "hide_credentials": false, 
        "enable_password_grant": false, 
        "accept_http_if_already_terminated": false, 
        "provision_key": "a36c23485d414ffb9eba7a85de0e7335", 
        "enable_client_credentials": false, 
        "enable_authorization_code": true
    }
}

(3)、添加开发者帐号

$ curl -X POST http://127.0.0.1:8001/consumers \
--data "username=testuser123" \
--data "custom_id=12345"
{
    "custom_id": "12345", 
    "username": "testuser123", 
    "created_at": 1456299997000, 
    "id": "364381e9-acf7-424d-a87f-f4be80871ee2"
}

(4)、添加应用

curl -X POST http://127.0.0.1:8001/consumers/364381e9-acf7-424d-a87f-f4be80871ee2/oauth2 \
--data "name=My%20Test%20Application" \
--data "redirect_uri=https://httpbin.org/get"
{
    "consumer_id": "364381e9-acf7-424d-a87f-f4be80871ee2", 
    "client_id": "54b968c73da64b328ed92b05548179b6", 
    "id": "ce2906cb-3442-44c1-888e-848bafd0a442", 
    "name": "My Test Application", 
    "created_at": 1456300207000, 
    "redirect_uri": "https://httpbin.org/get", 
    "client_secret": "3b4537ac7c94492f81b251110e2d0f33"
}

(5)、模拟用户授权,获取回调码

$ curl -X POST https://127.0.0.1:8443/oauth2/authorize \
-H "Host: yufan.me" \
--data "client_id=54b968c73da64b328ed92b05548179b6" \
--data "response_type=code" \
--data "scope=email" \
--data "authenticated_userid=yufan" \
--data "provision_key=a36c23485d414ffb9eba7a85de0e7335" \
--insecure
{"redirect_uri":"https:\/\/httpbin.org\/get?code=f2987a670ab246a38b2a3e6d58713019"}

(6)、获取两码,完成初次认证

$ curl -X POST https://127.0.0.1:8443/oauth2/token \
-H "Host: yufan.me" \
--data "client_id=54b968c73da64b328ed92b05548179b6" \
--data "client_secret=3b4537ac7c94492f81b251110e2d0f33" \
--data "grant_type=authorization_code" \
--data "code=f2987a670ab246a38b2a3e6d58713019" \
--insecure
{
    "refresh_token": "a42472728fd74075ac8db82a0cb50b44", 
    "token_type": "bearer", 
    "access_token": "c28b23745aa84c14a001a32476be3d6c", 
    "expires_in": 7200
}

(7)、API 请求

$ curl -X POST https://127.0.0.1:8443/post \
-H "Host: yufan.me" \
--data "access_token=c28b23745aa84c14a001a32476be3d6c" \
--insecure
{"args": {},
  "data": "",
  "files": {},
  "form": {"access_token": "c28b23745aa84c14a001a32476be3d6c"},
  "headers": {
    "Accept": "*/*",
    "Content-Length": "45",
    "Content-Type": "application/x-www-form-urlencoded",
    "Host": "yufan.me",
    "User-Agent": "curl/7.43.0",
    "X-Authenticated-Scope": "email",
    "X-Authenticated-Userid": "yufan",
    "X-Consumer-Custom-Id": "12345",
    "X-Consumer-Id": "364381e9-acf7-424d-a87f-f4be80871ee2",
    "X-Consumer-Username": "testuser123"
  },
  "json": null,
  "origin": "127.0.0.1, 61.148.202.186",
  "url": "https://yufan.me/post"
}

(8)、API Token 刷新

$  curl -X POST https://127.0.0.1:8443/oauth2/token \
-H "Host: yufan.me" \
--data "refresh_token=a42472728fd74075ac8db82a0cb50b44" \
--data "client_id=54b968c73da64b328ed92b05548179b6" \
--data "client_secret=3b4537ac7c94492f81b251110e2d0f33" \
--data "grant_type=refresh_token" \
--insecure
{
    "refresh_token": "de64c9df218b4a0eb2a24af83cd93a56", 
    "token_type": "bearer", 
    "access_token": "98ff79467dd6450f95061da94bd81d02", 
    "expires_in": 7200
}