EDAS/MSE微服务的认证鉴权 【暂只支持添加一种认证类型】有朋友遇到过吗？

在EDAS/MSE微服务引擎中，认证鉴权是确保微服务安全访问的重要功能。根据知识库中的资料，以下是对您问题的详细解答：

1. EDAS/MSE支持的认证鉴权类型

EDAS/MSE提供了多种认证鉴权机制，包括但不限于以下几种： - JWT（JSON Web Token）：适用于API认证，广泛使用且无需中心化鉴权服务。 - OIDC（OpenID Connect）：基于OAuth 2.0协议，适合三方账号登录认证（如微信、支付宝等）。 - Key-Auth：基于API Key实现身份认证和鉴权，常用于API网关。 - Basic-Auth：基于HTTP Basic Auth标准，适合内部系统访问场景。 - Hmac-Auth：基于HMAC算法生成签名，适合API之间的互调认证。 - OPA（Open Policy Agent）：提供高级声明式语言（Rego）编写安全策略。 - 阿里云应用身份服务IDaaS：支持托管认证鉴权或外部用户体系登录。 - 自定义认证鉴权：允许用户接入自己的认证逻辑。

2. 配置认证鉴权的限制

根据您的描述“暂只支持添加一种认证类型”，这可能与以下情况有关： - 全局认证鉴权规则的单一性：在MSE网关管理控制台中，每个网关实例的全局认证鉴权规则仅支持配置一种认证类型。这意味着，如果您已经为某个网关配置了某种认证方式（如JWT），则无法在同一网关上再添加其他认证类型（如OIDC或Key-Auth）。 - 路由级别的认证配置：虽然全局认证鉴权规则只能配置一种类型，但您可以在路由级别为不同的路由规则配置不同的认证方式。例如，某些路由可以使用JWT认证，而其他路由可以使用Key-Auth。

3. 解决方案

如果需要支持多种认证类型，您可以考虑以下方法：

3.1 路由级别的认证配置

• 在MSE网关管理控制台中，进入目标网关的路由管理页面。
• 选择需要配置的路由规则，单击策略配置 > 认证。
• 为不同的路由规则配置不同的认证方式（如JWT、Key-Auth等）。
• 注意：这种方式要求您对路由规则进行精细化管理，确保不同认证类型的请求能够正确匹配到对应的路由。

3.2 使用自定义认证鉴权

• 如果现有的认证类型无法满足需求，您可以选择自定义认证鉴权。
• 自定义认证鉴权允许您将认证逻辑路由到用户自建的认证服务器。
• 配置步骤：
  1. 登录MSE网关管理控制台。
  2. 进入目标网关的安全管理 > 全局认证鉴权页面。
  3. 单击创建鉴权，选择自建的鉴权服务。
  4. 配置鉴权服务的相关参数（如鉴权API路径、Token位置等）。

3.3 多网关实例部署

• 如果您的业务场景需要同时支持多种认证类型，可以考虑部署多个网关实例，每个实例配置不同的认证类型。
• 示例：
  • 网关实例A：配置JWT认证。
  • 网关实例B：配置OIDC认证。
• 通过DNS或负载均衡器将不同类型的请求分发到对应的网关实例。

4. 注意事项

• 认证鉴权的开启与关闭：只有在认证鉴权信息关闭的状态下，才能执行删除操作。
• 防重放机制：如果启用了防重放开关（enableAntiReplay），需要在请求Header中添加时间戳和HMAC签名。
• 安全性建议：避免在公网环境中使用安全性较低的认证方式（如Basic-Auth），推荐使用JWT、OIDC或Hmac-Auth等更安全的机制。

5. 示例配置

以下是一个简单的JWT认证配置示例：

# 全局认证鉴权配置
authType: JWT
jwtConfig:
  issuer: "your-issuer"
  audience: "your-audience"
  publicKey: "-----BEGIN PUBLIC KEY-----\n...\n-----END PUBLIC KEY-----"

通过以上方法，您可以灵活地配置EDAS/MSE微服务的认证鉴权功能，满足不同业务场景的需求。如果有进一步的问题，请随时联系！