Apache APISIX WebSocket 认证配置指南

于 2025-06-03 09:00:42 发布
阅读量418 收藏 4
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00407/article/details/148391592

Apache APISIX WebSocket 认证配置指南

apisix The Cloud-Native API Gateway apisix 项目地址: https://gitcode.com/gh_mirrors/ap/apisix

前言

在现代 Web 应用中,WebSocket 协议因其全双工通信能力被广泛应用于实时消息推送、在线聊天等场景。然而,WebSocket 协议本身并不提供认证机制,这给服务安全带来了挑战。本文将详细介绍如何利用 Apache APISIX 为 WebSocket 连接配置认证功能。

WebSocket 协议基础

WebSocket 连接建立过程分为握手阶段和通信阶段:

  1. 握手阶段:客户端发送 HTTP 升级请求,服务器响应确认升级
  2. 通信阶段:双方通过 WebSocket 协议进行全双工通信

典型握手过程如下:

客户端请求示例

GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Version: 13

服务器响应示例

HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=

APISIX 认证机制

Apache APISIX 支持多种认证插件,可无缝应用于 WebSocket 连接:

  1. Basic Auth:基于用户名密码的基础认证
  2. Key Auth:基于 API 密钥的简单认证
  3. JWT Auth:基于 JSON Web Token 的认证

这些插件在 WebSocket 握手阶段进行验证,确保只有合法请求能建立连接。

配置实战

环境准备

  1. 已安装 Apache APISIX 3.0 或更高版本
  2. 准备 WebSocket 上游服务(本文使用 Postman 的公开回显服务)

步骤一:创建路由

curl --location --request PUT 'http://127.0.0.1:9180/apisix/admin/routes/1' \
--header 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' \
--header 'Content-Type: application/json' \
--data-raw '{
    "uri": "/*",
    "methods": ["GET"],
    "enable_websocket": true,
    "upstream": {
        "type": "roundrobin",
        "nodes": {
            "ws.postman-echo.com:443": 1
        },
        "scheme": "https"
    },
    "plugins": {
        "key-auth": {}
    }
}'

关键参数说明:

  • enable_websocket:启用 WebSocket 支持
  • scheme: https:指定上游使用 HTTPS/WSS 协议
  • key-auth 插件:启用 API 密钥认证

步骤二:创建消费者

curl --location --request PUT 'http://127.0.0.1:9180/apisix/admin/consumers/jack' \
--header 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' \
--header 'Content-Type: application/json' \
--data-raw '{
    "username": "jack",
    "plugins": {
        "key-auth": {
            "key": "this_is_the_key"
        }
    }
}'

此配置创建了一个名为 "jack" 的消费者,并分配了 API 密钥 "this_is_the_key"。

测试验证

未认证测试

直接连接 ws://127.0.0.1:9080/raw 将收到 401 Unauthorized 响应,证明认证机制生效。

认证测试

在请求头中添加正确的 API 密钥:

apikey: this_is_the_key

此时应能成功建立 WebSocket 连接并进行通信。

安全建议

  1. 密钥管理:定期轮换 API 密钥,避免长期使用同一密钥
  2. HTTPS 加密:生产环境务必使用 WSS(WebSocket Secure)协议
  3. 访问控制:配合 limit-req 等插件防止未授权访问
  4. 多因素认证:对敏感操作可结合多种认证方式

总结

通过 Apache APISIX 的认证插件,我们可以轻松为 WebSocket 服务添加安全层。这种方案具有以下优势:

  1. 协议透明:对 WebSocket 客户端和服务端完全透明
  2. 灵活配置:支持多种认证方式,可按需组合
  3. 集中管理:统一在 API 网关层实现安全策略
  4. 高性能:认证过程对通信性能影响极小

开发者可以根据实际业务需求,选择合适的认证方式保护 WebSocket 服务。

apisix The Cloud-Native API Gateway apisix 项目地址: https://gitcode.com/gh_mirrors/ap/apisix

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

API 网关的详细使用
AI天才研究院
11-06 757
《API 网关的详细使用》 关键词: API网关、微服务、路由、负载均衡、服务熔断、性能优化、高可用性、监控与运维 摘要: 本文将深入探讨API网关的概念、核心功能、技术架构、开发与性能优化,并通过项目实践案例,详细解析API网关
云原生领域 Gateway 的安全漏洞修复
AI云原生与云计算技术学院
05-29 686
常见安全漏洞的分类与原理分析漏洞检测与风险评估方法论从架构设计到代码实现的修复策略结合DevSecOps的自动化防护体系构建典型行业场景的最佳实践目标是为技术团队提供可落地的安全加固方案,解决微服务架构中网关作为统一入口的安全痛点。背景知识体系构建核心漏洞原理与架构映射算法级修复实现与数学建模全链路实战案例解析行业应用与工具生态未来趋势与挑战API网关(API Gateway):云原生架构中统一处理外部请求的入口组件,实现路由转发、流量控制、安全防护等功能。
Websocket实现token认证方式
Cain的博客
07-26 1万+
websocket token认证
apisix转发websocket
s07aser123的专栏
12-19 1462
apisix转发websocket使用以及注意事项
Apache APISIX WebSocket 认证配置完全指南
最新发布
gitblog_00420的博客
06-02 415
Apache APISIX WebSocket 认证配置完全指南 apisix Apisix是一个基于Nginx的API网关,主要用于微服务架构中的API管理和服务发现。它的特点是高性能、轻量级、易于配置等。适用于API管理和负载均衡场景。 ...
APISIX源码解析-执行阶段【http_access_phase】
a_12321_123的博客
01-04 2592
http_access_phase 该阶段将rewirte和access阶段合为一体进行处理 1、验证client tls 2、设置上下文api_ctx.var : cache & request 3、route_uri移除末尾的 “/” 4、route_uri移除末尾的 “/” api_ctx.var.uri = str_sub(api_ctx.var.uri, 1, #uri - 1) 5、 路径以“/apisix”开头的api被视为内部api,匹配uri global_rule_skip_.
openresty代理websocket流量(apisix)
han_xue_feng的博客
11-08 774
4.我论文基于 vis。顺丰,蓝禾,宁德时代,蓝月亮,康龙化成,真我手机,三七互娱,奇安信24秋招①顺丰集团【招聘岗位】研发类、管培生类,航空类,经营管理、职能【内推码】4FOLXH【这群**高管脑子里在想什么,问我几个of,我答了,问我薪资多少,我以为他说of薪资,我说16到20,他说10k不考虑么,我说10k考虑啊,我觉得很不错结束了跟我。想问问牛友们,哪个岗位适合长期发展,以及对后期跳槽晋升有利,其中比亚迪薪资待遇最低,部门是新建的,不太清楚之后发展情况,双登、华友的薪资和知名度中规中矩,牧原给。
APISIX
03-22
### APISIX 入门指南 APISIX 是一个高性能、可扩展的开源 API 网关,支持动态路由、负载均衡、服务发现等功能。以下是关于 APISIX 安装、配置以及使用的详细介绍。 --- #### 一、安装方式 APISIX 提供多种安装...
云原生领域API Gateway的API网关API路由规则配置
AI云原生与云计算技术学院
05-18 1067
在云原生架构普及的今天,API网关作为微服务架构的流量入口,承担着路由转发、协议转换、流量控制等核心功能。其中,路由规则配置是决定网关能否高效调度后端服务的关键。路由规则包含哪些核心要素?如何实现精准的请求匹配?动态路由与静态路由的适用场景及技术实现差异?负载均衡、熔断降级等高级策略如何与路由规则结合?如何在Kubernetes等云原生环境中实现路由规则的自动化管理?本文覆盖从基础概念到复杂策略的全维度解析,结合具体代码示例与数学模型,帮助读者建立完整的路由规则配置知识体系。基础理论。
Java Servlet 微服务网关的实现与应用
Java技术栈实战开发的博客
05-07 685
微服务架构已成为现代分布式系统的主流设计模式,而微服务网关作为系统的统一入口,承担着路由转发、协议转换、安全控制等重要职责。深入剖析基于Java Servlet技术实现微服务网关的核心原理提供完整的实现方案和最佳实践指导分析微服务网关在实际生产环境中的应用场景和优化策略文章首先介绍微服务网关的基本概念和Servlet技术的适用性,然后深入讲解核心实现原理,包括路由、负载均衡等关键功能。接着通过完整代码示例展示具体实现,最后探讨实际应用和未来趋势。微服务网关(API Gateway)
SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 3351
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 2468
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
云原生下最火的API网关-APISIX
03-03 6598
APISIX是一款基于Nginx和OpenResty的云原生API网关,由Apache APISIX社区维护。它提供了一个可扩展的、低延迟、高性能的API网关解决方案,支持常见的API管理功能,如流量控制、认证、转发、限速、缓存、日志等,并提供了灵活的插件机制,可支持自定义插件的开发和集成。
WebSocket与Shiro认证信息传递的实现与安全性探讨
nbsaas-boot基于Request-Response的企业级快速开发框架
01-24 983
WebSocket连接建立: 客户端与服务器建立WebSocket连接时,可将Shiro的Session ID传递给服务器。Session ID传递: 在连接建立后,通过WebSocket消息机制将Shiro的Session ID发送到服务器。服务器端处理: 服务器端接收WebSocket消息,解析其中的Session ID。Shiro Session获取: 使用解析到的Session ID,服务器端通过Shiro的SessionManager获取Shiro的Session对象。
WebSocket的用户身份认证
热门推荐
广工最菜的琛
12-07 2万+
关于Session认证的探索 在最近的项目中利用了Session进行用户的认证,乘机总结下踩过的坑以及解决方法 使用环境 SpringBoot 2.x, Spring 4.x 碰到的问题 利用过滤器验证用户权限时,由于httpServletRequest中的输出输入流只能读取一次,导致在过滤器中取出前端发送的请求值,在将其与Sessionuser进行权限验证后,在业务逻辑层再次调用httpSer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

强懿方

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值