OIDCAuthContent
参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
client_id | 是 | String | Identity Provider中的客户端ID。 |
client_secret | 是 | String | Identity Provider中的客户端secret。调用查询接口查看插件内容时,该字段会被匿名化处理。 |
discovery | 是 | String | Identity Provider开放的服务发现地址。 |
redirect_api_id | 是 | String | 重定向API的ID。重定向API会与本插件绑定,作为Identity Provider(IdP)重定向回来的入口。用户需要自行将指定的API的URL配置为IdP client的重定向地址,如配置成keycloak的client中的 “Valid redirect URIs” 参数。需要与该插件绑定的其它业务API的路径不能与该redirect_api的路径相同,否则会调用失败。重定向API作为插件功能的一环,在插件生命周期内不能删除。 |
scope | 否 | String | 授权码流程中应返回的身份验证用户信息,默认值是openid email profile。可以附加其他范围并用空格分隔,例如openid email profile phone。 |
logout_api_id | 否 | String | 登出API的ID。登出API会与本插件绑定,作为用户退出登录的路径,即当用户调用指定的API时退出登录。需要与该插件绑定的其它业务API的路径不能与该登出API的路径相同,否则会调用失败。登出API作为插件功能的一环,在插件生命周期内不能删除。 |
access_token_expires_in | 否 | Integer | 访问令牌的过期时间,单位为秒。当从Identity Provider获取的令牌响应信息中没有过期时间时使用该值作为token过期时间,默认为3600秒。 |
jwt_cache_enabled | 否 | Boolean | 是否在API网关缓存token认证的认证结果。默认开启。 |
jwks_enabled | 否 | Boolean | 是否使用discovery服务发现地址中的jwks_uri来获取公钥进行token校验。当Identity Provider提供了相关的jwk配置时可以设置为true,否则需要自行配置public_key才能进行token校验。默认设置为true。 |
public_key | 否 | String | Token所使用的非对称算法的公钥。格式为pem格式。插件会使用public_key或者Identity Provider的jwk来校验token,即public_key和jwks_enable这两个参数至少有一个需要配置,否则无法校验token。当同时配置了public_key和jwks_enable,插件会使用public_key作为公钥进行校验。 |
redirect_after_logout_uri | 否 | String | 当用户调用了该插件的登出API时,页面会重定向到该地址。 |
slient_renew_access_token_enabled | 否 | Boolean | 是否在访问令牌过期时由API网关静默地更新访问令牌。默认静默更新。 |
set_access_token_header_enabled | 否 | Boolean | 是否将访问令牌设置为Authorization请求头透传到业务后端。默认透传。 |
set_userinfo_header_enabled | 否 | Boolean | 在授权码流程中,是否将用户信息设置为X-Userinfo请求头透传到业务后端。默认透传。 |
auth_header_name | 否 | String | 访问令牌的请求头名称。默认为Authorization。 |
参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
client_id | 是 | String | Identity Provider中的客户端ID。 |
discovery | 是 | String | Identity Provider开放的服务发现地址。 |
redirect_api_id | 是 | String | 重定向API的ID。重定向API会与本插件绑定,作为Identity Provider(IdP)重定向回来的入口。用户需要自行将指定的API的URL配置为IdP client的重定向地址,如配置成keycloak的client中的 “Valid redirect URIs” 参数。需要与该插件绑定的其它业务API的路径不能与该redirect_api的路径相同,否则会调用失败。重定向API作为插件功能的一环,在插件生命周期内不能删除。 |
scope | 否 | String | 授权码流程中应返回的身份验证用户信息,默认值是openid email profile。可以附加其他范围并用空格分隔,例如openid email profile phone。 |
logout_api_id | 否 | String | 登出API的ID。登出API会与本插件绑定,作为用户退出登录的路径,即当用户调用指定的API时退出登录。需要与该插件绑定的其它业务API的路径不能与该登出API的路径相同,否则会调用失败。登出API作为插件功能的一环,在插件生命周期内不能删除。 |
access_token_expires_in | 否 | Integer | 访问令牌的过期时间,单位为秒。当从Identity Provider获取的令牌响应信息中没有过期时间时使用该值作为token过期时间,默认为3600秒。 |
jwt_cache_enabled | 否 | Boolean | 是否在API网关缓存token认证的认证结果。默认开启。 |
jwks_enabled | 否 | Boolean | 是否使用discovery服务发现地址中的jwks_uri来获取公钥进行token校验。当Identity Provider提供了相关的jwk配置时可以设置为true,否则需要自行配置public_key才能进行token校验。默认设置为true。 |
public_key | 否 | String | Token所使用的非对称算法的公钥。格式为pem格式。插件会使用public_key或者Identity Provider的jwk来校验token,即public_key和jwks_enable这两个参数至少有一个需要配置,否则无法校验token。当同时配置了public_key和jwks_enable,插件会使用public_key作为公钥进行校验。 |
redirect_after_logout_uri | 否 | String | 当用户调用了该插件的登出API时,页面会重定向到该地址。 |
slient_renew_access_token_enabled | 否 | Boolean | 是否在访问令牌过期时由API网关静默地更新访问令牌。默认静默更新。 |
set_access_token_header_enabled | 否 | Boolean | 是否将访问令牌设置为Authorization请求头透传到业务后端。默认透传。 |
set_userinfo_header_enabled | 否 | Boolean | 在授权码流程中,是否将用户信息设置为X-Userinfo请求头透传到业务后端。默认透传。 |
auth_header_name | 否 | String | 访问令牌的请求头名称。默认为Authorization。 |
