第三方认证策略说明

负载通道

是否使用负载通道作为第三方接口的鉴权服务。

• 选择“使用”时，配置鉴权服务的负载通道。
• 选择“不使用”时，配置鉴权服务的访问地址。

后端URL

• 请求方法

  支持GET、POST、PUT、HEAD请求方法。

• 请求协议

  HTTP或HTTPS，传输重要或敏感数据时推荐使用HTTPS。

• 负载通道（可选）

  仅在“使用”负载通道时，需要设置。选择已创建的负载通道名称，如果没有可选的负载通道，您也可以单击“新建负载通道”创建。

• 后端服务地址（可选）

  仅在不使用负载通道时，需要设置。

  填写鉴权服务的访问地址，格式：“主机:端口”。主机为鉴权服务的访问IP地址/域名，未指定端口时，HTTP协议默认使用80端口，HTTPS协议默认使用443端口。

  说明：

  目前仅支持IPv4地址。

• 路径

  鉴权服务的路径，即服务的url。

自定义host头域

仅在使用负载通道时配置。

在请求被发送到负载通道中的云服务器前，允许您自定义请求的host头域，默认将使用请求中原始的host头域。

后端超时（ms）

鉴权服务请求的超时时间。超时时间不超过后端响应超时时间上限，超时时间上限可在API网关控制台的“配置参数”中查看。

防暴力拦截阈值

当源IP访问在5分钟内进行第三方认证失败的次数达到此处配置的阈值时，将触发源IP请求拦截，在这5分钟后解除请求拦截。

例如，5分钟内，源IP访问在第三分钟进行第三方认证失败的次数达到此处配置的阈值，触发源IP请求拦截，再过2分钟解除请求拦截。

身份来源

将从API原始请求中获取此处配置的参数进行第三方鉴权接口鉴权（最大支持10个header参数和10个query参数）。身份来源信息为空时，携带API原始请求的请求参数（header参数和query参数）调用第三方鉴权接口进行鉴权。

宽松模式

开关开启后，当鉴权服务不可用（与鉴权服务建立连接失败或者鉴权服务返回5xx）时，API网关仍然接受客户端请求。

允许携带原始请求体

开关开启后，将携带API原始请求体调用鉴权接口鉴权。

请求体大小（字节）

仅在开启“允许携带原始请求体”时配置。

请求体大小不能超过实例允许的最大请求体大小。实例的最大请求体大小可在API网关控制台“配置参数”中查看。

允许携带原始请求路径

开关开启后，将API原始请求路径拼接到鉴权接口路径之后调用鉴权接口鉴权。

直接返回鉴权响应

开关开启后，鉴权失败时，将直接返回鉴权服务的响应。

允许携带的响应头部

鉴权成功时，原始请求将从鉴权服务返回的响应头中获取此处配置的头部，传到业务后端。

最大支持配置10个头部。

简易鉴权模式

开关开启后，鉴权服务返回状态码“2xx”时，表示认证通过。

鉴权结果匹配

仅在“简易鉴权模式”关闭后可配置。

根据鉴权服务返回的响应头中的参数名和参数值进行校验，响应头中存在此处配置的参数名，并且参数值相等则认证通过。

黑白名单配置

开关开启后，原始API请求匹配黑/白名单规则将进行/不进行第三方认证鉴权。

规则类型

• 白名单规则

  如果原始API请求匹配白名单规则，将不进行第三方认证鉴权。

• 黑名单规则

  如果原始API请求匹配黑名单规则，将进行第三方认证鉴权。

定义参数

定义用于规则的参数。

• 参数位置：用于规则匹配的参数位置。
  • path：API请求的URI，系统默认配置。
  • method：API请求方法，系统默认配置。
  • header：请求头的key值。
  • query：QueryString的key值。
  • system：系统参数。
• 参数：用于判断与规则中的参数值是否匹配。

定义规则

定义用于规则的判断条件。

单击“添加规则”，编辑规则名称和规则条件。在“条件表达式”弹窗中，选择“定义参数”中的参数名和判断条件，以及输入参数值。

• =为等于
• !=为不等于
• pattern为正则表达式
• enum为枚举值，多个参数值之间用英文逗号分隔