微信公众平台

Apisix提供了很多插件，通过鉴权插件，并配合自定义服务接口，可以很好实现网关层面的统一鉴权，认证还是可以走统一认证中心。

1、创建统一鉴权微服务接口

也可以和其他子服务共用一个，但是必须是一个单独的apisix路由接口。

核心伪代码如下，具体的逻辑根据实际情况可以调整，主要是要返回HTTP状态码即可：

[HttpGet] public async Task Verify() {     try     {         // 1、获取token和请求api
         var token = Request.Headers.FirstOrDefault(d => d.Key == "Authorization").Value.ObjToString().Replace("Bearer ", "");         var questUrl = Request.Headers.FirstOrDefault(d => d.Key == "X-Forwarded-Uri").Value.ObjToString()?.ToLower() ?? "";        
          // 2、配置接口白名单         List<string> apis = Appsettings.app<string>("Middleware", "Apisix", "WhiteApis");         if (apis.Contains(questUrl) || apis.Any(d => questUrl.Contains(d)))         {             // 返回200的HTTP状态码             await ResponseForVerify(HttpStatusCode.OK);             return;         }         
        // 3、token为空，返回401        if (token.Cof_IsNullOrEmpty()) await ResponseForVerify(HttpStatusCode.Unauthorized);                // 解析token，获取内部信息，也可以判断过期时间        var tokenModel = JwtHelper.SerializeJwt(token) ?? new TokenModelJwt();        // 4、当前用户角色是否匹配当前请求的API        var isMatchRole = await IsMatchAPIForCurrentUserRoleAsync(questUrl, currentUserRoles);        if (tokenModel != null && isMatchRole)        {            Console.WriteLine($"鉴权结束时间：{DateTime.Now}-{DateTime.Now.Millisecond}；校验通过，用户id：{tokenModel.Uid}");            await ResponseForVerify(HttpStatusCode.OK);            return;        }

        // 5、不满足上述情况，就返回403        await ResponseForVerify(HttpStatusCode.Unauthorized); }

注意白名单的写法有多种，可以使用普通匹配，正则匹配等等。

2、为鉴权服务创建apisix路由

与普通创建路由一致，可以参考其他创建路由具体步骤。

3、为业务微服务配置身份认证插件

这里使用forward-auth作为身份认证插件，具体的配置方法可以查看官网 https://apisix.apache.org/docs/apisix/plugins/forward-auth/

将刚刚创建好的鉴权服务路由接口，配置在插件中，并启动该插件

最终可以在路由列表中，看到已开启的插件名称

4、访问业务微服务接口，即可实现统一鉴权效果

日志可以根据实际情况，自行输出

APISIX集成统一鉴权中心

投诉已提交