【发布时间】:2017-01-16 16:02:45
【问题描述】:
我们在自定义服务部署系统中使用 Kong,并为 Kong 开发了一个新的身份验证插件以满足我们的特定需求。
所有这些都运行良好,我们对此进行了测试:
- 注册新的 API(服务)
- 发出 POST 请求以在新 API 上启用身份验证插件
虽然这有效,但它为黑客打开了一个机会之窗,让他们可以在 1. 和 2 之间执行未经身份验证的请求。这显然是不可接受的,但我找不到自动启用身份验证代理的方法自动强>。
Kong 有没有办法:
- 为所有新 API 自动启用一组给定的插件。
- 指定注册新 API 时要启用的插件列表。
【问题讨论】:
-
您是否尝试过全局激活插件并在插件激活后注册新的 API(服务)?或者您的自定义身份验证插件需要在服务级别激活?
标签: authentication nginx plugins kong