2

我们在我们的定制服务部署系统中使用 Kong,我们为 Kong 开发了一个新的身份验证插件以满足我们的特定需求。

所有这些都运行良好,我们对此进行了测试:

  1. 注册一个新的 API(服务)
  2. 发出 POST 请求以在新 API 上启用身份验证插件

虽然这可行,但它为黑客打开了一个机会之窗,可以在 1. 和 2 之间执行未经身份验证的请求。这显然是不可接受的,但我找不到自动启用身份验证代理的方法

Kong有没有办法:

  • 为所有新 API 自动启用一组给定的插件。
  • 指定注册新 API 时要启用的插件列表。
4

1 回答 1

2

目前没有办法在插入时自动将插件策略应用到 API。还有另一个问题也可能有所帮助(但目前尚未实施):https ://github.com/Mashape/kong/issues/1279

这将允许您:

  1. 添加 API,但enabled=false无法代理任何请求。
  2. 添加插件
  3. 使用 启用 API enabled=true

到今天为止,唯一的方法是:

  1. 添加一个upstream_url无处可去的虚假 API。
  2. 添加插件。
  3. 使用请求更新 API,PATCH现在将其指向正确的upstream_url.
于 2017-02-09T20:10:52.410 回答