【外部认证】插件是否能支持响应body 及 例外路径(不需要认证)

[takenToken]

外部认证配置：

http_service:
  authorization_request:
    allowed_headers:
    - exact: "token"
    headers_to_add:
      x-envoy-header: true
  authorization_response:
    allowed_upstream_headers:
    - exact: "x-auth-status"
    - exact: "x-auth-msg"
  endpoint:
    path_prefix: "/auth"
    service_name: "tenant-lesoon-basic-api.tenant-dev.svc.cluster.local"
    service_port: 8080
  endpoint_mode: "envoy"
  timeout: 1000
status_on_error: 403

测试结果：

• 类似于ASM的服务网格网关自定义授权逻辑。

疑问

• 响应无body，无法做到更精细化处理。 例如： 资源权限认证、 单点登录认证等。
• 如何配置例外路径， 例如：前端路径、特殊业务路径不需要认证的，如何针对这边路径配置例外？ 如果这边路径也要走到外部授权认证一遍的话，浪费资源了。

[hanxiantao]

问题1：目前版本的代码实现是在认证失败的时候（认证服务返回非200）响应认证服务返回的 response_code 和 response_body，不确定插件是否更新为最新版本，我这边会自己再验证下。如果未更新会打个新的 ext-auth 插件版本更新下即可

问题2：这个目前版本暂不支持，我们这边使用认证的时候一般会把认证和非认证的路径进行区分，当然也可以加一个类似 skippedPathPrefixes 配置排除特定路径不走认证 这个可以帮忙一起评估下 @johnlanni。如果需要的话，我这边开发下

[johnlanni]

@hanxiantao 例外路径确实是个挺通用的功能，可以实现一下

[takenToken]

@hanxiantao 您好，请问一下这两个功能大概什么时候回合并上，并插件编译到中央仓库，我这边好验证一下结果是否符合预期，谢谢。

[hanxiantao]

@hanxiantao 您好，请问一下这两个功能大概什么时候回合并上，并插件编译到中央仓库，我这边好验证一下结果是否符合预期，谢谢。

应该这周就可以，我今天再改一版

[hanxiantao]

@takenToken 新的插件已经更新了，今天验证下吧
前端路径、特殊业务路径不需要认证的可以使用白名单，这里域名和路径可以只配置一个，可以参考下pr里我贴的测试用例 #1694
文档地址：https://github.com/alibaba/higress/tree/main/plugins/wasm-go/extensions/ext-auth（晚点会更新官网的文档）
插件镜像地址：higress-registry.cn-hangzhou.cr.aliyuncs.com/plugins/ext-auth:latest

[takenToken]

@hanxiantao 您好， 请问一下【oci://higress-registry.cn-hangzhou.cr.aliyuncs.com/plugins/ext-auth:latest】具体版本是多少，多久会自动拉取最新版本。 我现在验证了白名单没有生效， 请问一下是什么情况。

配置

http_service:
  authorization_request:
    allowed_headers:
    - exact: "token"
    headers_to_add:
      x-envoy-header: true
  authorization_response:
    allowed_upstream_headers:
    - exact: "x-auth-status"
    - exact: "x-auth-msg"
  endpoint:
    path_prefix: "/auth"
    service_name: "tenant-lesoon-basic-api.tenant-dev.svc.cluster.local"
    service_port: 8080
  endpoint_mode: "envoy"
  match_list:
  - match_rule_path: "/login"
    match_rule_type: "prefix"
  match_type: "blacklist"
  timeout: 3000
status_on_error: 403

[hanxiantao]

@hanxiantao 您好， 请问一下【oci://higress-registry.cn-hangzhou.cr.aliyuncs.com/plugins/ext-auth:latest】具体版本是多少，多久会自动拉取最新版本。 我现在验证了白名单没有生效， 请问一下是什么情况。

配置

http_service:
authorization_request:
allowed_headers:
- exact: "token"
headers_to_add:
x-envoy-header: true
authorization_response:
allowed_upstream_headers:
- exact: "x-auth-status"
- exact: "x-auth-msg"
endpoint:
path_prefix: "/auth"
service_name: "tenant-lesoon-basic-api.tenant-dev.svc.cluster.local"
service_port: 8080
endpoint_mode: "envoy"
match_list:

• match_rule_path: "/login"
  match_rule_type: "prefix"
  match_type: "blacklist"
  timeout: 3000
  status_on_error: 403
  

白名单是跳过认证，改成白名单试下

[takenToken]

@hanxiantao 刚发现这个问题， 改成白名单效果一样。 还是403

http_service:
  authorization_request:
    allowed_headers:
    - exact: "token"
    headers_to_add:
      x-envoy-header: true
  authorization_response:
    allowed_upstream_headers:
    - exact: "x-auth-status"
    - exact: "x-auth-msg"
  endpoint:
    path_prefix: "/auth"
    service_name: "tenant-lesoon-basic-api.tenant-dev.svc.cluster.local"
    service_port: 8080
  endpoint_mode: "envoy"
  match_list:
  - match_rule_path: "/login"
    match_rule_type: "prefix"
  match_type: "whitelist"
  timeout: 3000
status_on_error: 403

HTTP/1.1 403 Forbidden
content-type: application/json;charset=utf-8
date: Thu, 23 Jan 2025 02:13:51 GMT
req-arrive-time: 1737598431542
req-cost-time: 0
resp-start-time: 1737598431543
x-envoy-upstream-service-time: 0
content-length: 199
server: istio-envoy
connection: close

{
  "flag": {
    "requestId": null,
    "retCode": "9009",
    "retMsg": "令牌不能为空",
    "retDetail": null,
    "faultCode": null
  },
  "total": null,
  "data": null,
  "rows": null,
  "footer": null,
  "id": null,
  "billNo": null,
  "success": false
}

[hanxiantao]

@hanxiantao 刚发现这个问题， 改成白名单效果一样。

http_service:
authorization_request:
allowed_headers:
- exact: "token"
headers_to_add:
x-envoy-header: true
authorization_response:
allowed_upstream_headers:
- exact: "x-auth-status"
- exact: "x-auth-msg"
endpoint:
path_prefix: "/auth"
service_name: "tenant-lesoon-basic-api.tenant-dev.svc.cluster.local"
service_port: 8080
endpoint_mode: "envoy"
match_list:

• match_rule_path: "/login"
  match_rule_type: "prefix"
  match_type: "whitelist"
  timeout: 3000
  status_on_error: 403

这里拉取策略改下，改成 imagePullPolicy: Always 试下，我改成最新的试过是可以的，估计是没有更新，默认是 imagePullPolicy: IfNotPresent

这个我都是在 WasmPlugin CR 中修改的，我不确定管理后台上有没有修改的入口

[hanxiantao]

@takenToken 因为发现了个问题，等 #1705 合并后我们再发下正式版本

[takenToken]

@hanxiantao 是不是如下调整。 请问对higress版本有要求吗？ 我现在使用是2.0.4 ，控制台1.4.6 。 latest版本在哪里可以查看具体版本。

以下调整效果一样， 403

http_service:
  authorization_request:
    allowed_headers:
    - exact: "token"
    headers_to_add:
      x-envoy-header: true
  authorization_response:
    allowed_upstream_headers:
    - exact: "x-auth-status"
    - exact: "x-auth-msg"
  endpoint:
    path_prefix: "/auth"
    service_name: "tenant-lesoon-basic-api.tenant-dev.svc.cluster.local"
    service_port: 8080
  endpoint_mode: "envoy"
  match_list:
  - match_rule_path: "/login"
    match_rule_type: "prefix"
  match_type: "whitelist"
  timeout: 3000
imagePullPolicy: "Always"
status_on_error: 403

[johnlanni]

@takenToken 在 gateway 容器里执行 curl localhost:15000/config_dump，搜索一下 ext-auth， 然后找一下对应的 wasm 文件路径，路径里有 sha，可以用来比对下是否是最新的