keycloak和阿里api网关集成
keycloak和阿里api网关集成,使用keycloak来作为阿里api网关的鉴权,jwt认证,oauth2.0保护api
1.创建分组和vpc授权
2.我们暴露一个token api
我们创建一个token api,认证方式选择无,
协议选择https,使用post,入参透传,地址输入/token
后端选择vpc授权,输入vpc名字,选择https,填入实际获取token地址
然后点保存,发布
这样我们的获取token的api地址就是
https://api.test.com/token
3.创建jwt认证插件
参考阿里官方文档JWT认证插件_插件使用_API 网关 - 阿里云 (aliyun.com)
这里需要注意的是要把claim 参数,需要定义client id,在第二个插件会用到,如果这里不指明,后面无法使用
这个插件的作用是验证token有效性
4 创建访问控制插件
参考访问控制插件_插件使用_API 网关 - 阿里云 (aliyun.com)
这个插件是用来验证client id,禁止没有授权的client id访问这个api
结合第一个插件,可以实现完整的token鉴权
5.创建api,绑定上面2个插件,并发布
假设api地址如下
https://api.test.com/invoice
6.获取token
curl https://api.test.com/token -X POST -d "client_id=xxxx&client_secret=xxxx&grant_type=client_credentials"
7.访问api
curl https://api.test.com/invoice -H "Authorization: Bearer <token>"
这个做法的缺点如下
因为验证方式选择无,所以无法确定app绑定,日志里无法找到是谁调用的