Elasticsearch:创建 API key 接口访问 Elasticsearch

转载自:https://blog.csdn.net/UbuntuTouch/article/details/107181440

在之前我的文章 “Elastic:使用Postman来访问Elastic Stack” 中我介绍了如何在应用中访问 Elasticsearch。在那里,我们使用了最基本的 Basic authentication 的方法来访问 Elasticsearch。这种方法不好的地方就是每个用户所有的请求的验证都是一样的:使用的是同样的一个用户名及密码的 Base64 编码。在今天的文章中,我们将介绍如何创建 API key 来提供对 Elasticsearch 的访问。通过这个方法,一个用户可以动态生成无数个 API Key 的访问。 官方文档,可以在链接找到。

接口

它的接口非常简单:

POST /_security/api_key
PUT /_security/api_key

API Key 由 Elasticsearch API key 服务创建,当您在 HTTP 接口上配置TLS时,该服务会自动启用。 请参阅加密HTTP客户端通信。 或者,你可以显式启用 xpack.security.authc.api_key.enabled 设置。 在生产模式下运行时,引导检查会阻止您启用 API key 服务,除非你还在 HTTP 接口上启用了TLS。

成功创建 API key API 调用将返回一个JSON结构,其中包含API 密钥,其唯一 ID 和名称。 如果适用,它还以毫秒为单位返回API密钥的到期信息。

有点是需要注意的是:默认情况下,AP I密钥永不过期。 你可以在创建API密钥时指定到期信息。

请求例子

以下示例创建一个 API 密钥:

POST /_security/api_key
{
  "name": "my-api-key",
  "expiration": "1d", 
  "role_descriptors": { 
    "role-a": {
      "cluster": ["all"],
      "index": [
        {
          "names": ["index-a*"],
          "privileges": ["read"]
        }
      ]
    },
    "role-b": {
      "cluster": ["all"],
      "index": [
        {
          "names": ["index-b*"],
          "privileges": ["all"]
        }
      ]
    }
  }
}

请注意:在上面的 expiration 和 role_descriptors 这两个字段是可选的。如果你不选则意味着永远有效,并对所有的 role 都起作用。

接下来,我们来用一个具体的例子来展示这项功能。

安装

针对这个测试,由于要求我们启用 TLS 的配置,请参阅我之前的文章 “Elastic:为Elasticsearch启动https访问” 。在那篇文章中,我详述了如何配置启用 TLS。如果你的配置是成功的话,那么我们的 Elasticsearch 将会运行于 https://localhost:9200 的端口上。在这里,我就不再累述了。

测试

我们首先来打开 Kibana,并输入如下的命令:

POST /_security/api_key
{
  "name": "liuxg-api-key",
  "expiration": "1d"
}

在这里,我们设置 API key 的有效期是1天。我们同时也给了一个名称 liuxg-api-key。执行完上面的指令后,我们可以看到如下的响应:

{
  "id" : "gBcXKHMB53qZFLAQ52-j",
  "name" : "liuxg-api-key",
  "expiration" : 1594191922072,
  "api_key" : "sJYv3VMLRaaeaoUec2XfsA"
}

在这里,expiration 使用一个数值来表示的。它表示是从 1970-01-01 00:00:00 UTC 算起的秒。具体描述可以参阅文章

我们可以使用两种方法来生产这个 ApiKey:

方法一:

我们最关心的就是返回来的 id 及 api_key。这两个数值并不能直接为我们所使用。我们打开网站:https://www.base64encode.org/,并把上面的 id 及 api_key 用分号分开:

请注意返回的值 Z0JjWEtITUI1M3FaRkxBUTUyLWo6c0pZdjNWTUxSYWFlYW9VZWMyWGZzQQ==。这个将是我们访问 Elasticsearch 所需要的最终的 ApiKey。

方法二:

我们打开一个 terminal 并创建如下的一个 叫做 response 文件,它的内容如下:

{
  "id" : "gBcXKHMB53qZFLAQ52-j",
  "name" : "liuxg-api-key",
  "expiration" : 1594191922072,
  "api_key" : "sJYv3VMLRaaeaoUec2XfsA"
}

$ cat response 
{
    "id" : "gBcXKHMB53qZFLAQ52-j",
    "name" : "liuxg-api-key",
    "expiration" : 1594191922072,
    "api_key" : "sJYv3VMLRaaeaoUec2XfsA"
}

接着我们在 response 文件所在的路径下打入如下的命令:

$ echo -n $(cat response | jq -r .id):$(cat response | jq -r .api_key) | base64

上面的命令显示的结果:

$ ls response 
response
liuxg:tmp liuxg$ echo -n $(cat response | jq -r .id):$(cat response | jq -r .api_key) | base64Z0JjWEtITUI1M3FaRkxBUTUyLWo6c0pZdjNWTUxSYWFlYW9VZWMyWGZzQQ==

通过这个方法,我们可以看到和方法一一样的效果。

使用 ApiKey

我们访问 Elasticsearch 所使用的 接口例子为:

curl -k -H "Authorization: ApiKey Z0JjWEtITUI1M3FaRkxBUTUyLWo6c0pZdjNWTUxSYWFlYW9VZWMyWGZzQQ==" https://localhost:9200/_cluster/health

运行上面的命令:

我们再来运行一个例子:

curl -k -H "Authorization: ApiKey Z0JjWEtITUI1M3FaRkxBUTUyLWo6c0pZdjNWTUxSYWFlYW9VZWMyWGZzQQ==" https://localhost:9200/_cat/indices?pretty

posted @ 2020-09-24 13:58  哈喽哈喽111111  阅读(1461)  评论(0编辑  收藏  举报