basic auth （基本權(quán)限驗(yàn)證）是HTTP標(biāo)準(zhǔn)協(xié)議在RFC 7235條中定義的一層基本權(quán)限控制規(guī)范，當(dāng)外部請求訪問設(shè)定了basic auth 規(guī)則的站點(diǎn)或者url時，會強(qiáng)制要求輸入指定的用戶名及密碼才能對站點(diǎn)內(nèi)容進(jìn)行讀取操作，否則將會直接被拒絕訪問

ZeroNews在內(nèi)部規(guī)則引擎中已經(jīng)實(shí)現(xiàn)該能力，該博文將闡述ZeroNews basic auth的工作模式以及如何以0代碼門檻通過ZeroNews平臺快速便捷的為你的指定站點(diǎn)追加該策略

ZeroNews basic auth 基本工作原理

作為流量治理網(wǎng)關(guān)，ZeroNews 邊緣節(jié)點(diǎn)會將訪問端的流量安全實(shí)時的轉(zhuǎn)發(fā)到用戶內(nèi)網(wǎng)服務(wù), 如果用戶設(shè)置了basic auth 策略，那么當(dāng)針對該映射的HTTP 請求 到達(dá)ZeroNews 邊緣節(jié)點(diǎn)時， ZeroNews會直接返回 驗(yàn)證模塊 提示訪問者輸入對應(yīng)username 及password， 只有在ZeroNews 驗(yàn)證成功識別請求方為合法預(yù)期訪問者以后才會將外部請求轉(zhuǎn)發(fā)到用戶內(nèi)網(wǎng)，反之，在驗(yàn)證失敗的情況下， 用戶內(nèi)網(wǎng)會被ZeroNews 邊緣節(jié)點(diǎn)安全隔離，不會受到任何惡意請求的污染及攻擊

如何集成ZeroNews basic auth 到已有的映射上？

用戶可以在ZeroNews用戶平臺映射模塊中針對映射配置對應(yīng)的basic auth policy（鑒權(quán)認(rèn)證）

選擇/創(chuàng)建 對應(yīng)用戶名以后點(diǎn)擊保存按鈕，對應(yīng)basic auth policy 代碼及配置相關(guān)的事情將由ZeroNews自動實(shí)現(xiàn)，此時訪問對應(yīng)站點(diǎn)，則會要求訪問者提供指定的用戶名及密碼，否則無法訪問

ZeroNews basic auth 作用域范圍

ZeroNews 嚴(yán)格基于HTTP標(biāo)準(zhǔn)規(guī)范RFC 7235實(shí)現(xiàn)， 在CURL， 瀏覽器訪問及常規(guī)HTTP請求中都會生效， 上面我們已經(jīng)演示了瀏覽器頁面訪問，但是如規(guī)范所說，basic auth 的能力遠(yuǎn)不止如此， 我們依舊可以在API請求 及 curl等常規(guī)HTTP場景中使用該能力

ZeroNews 提供一個測試站點(diǎn)，其訪問端點(diǎn)為: https://***.com

curl 案例

您可嘗試通過curl 去獲取該站點(diǎn)的內(nèi)容

ApiPost案例

您也可以通過Postman / ApiPost 或者 axios / fetch / http client 等任意Api client 嘗試對該站點(diǎn)進(jìn)行請求

當(dāng)basic auth 信息缺失時， ZeroNews 邊緣節(jié)點(diǎn)會直接拒絕請求, 只有如下方正確添加了basic auth信息的請求才會被ZeroNews邊緣節(jié)點(diǎn)受理并轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)

在什么場景下需要用到basic auth？

1. 在針對一些敏感資源（如文件，內(nèi)部站點(diǎn)）的臨時分享，您只想讓部分經(jīng)過您允許的訪問者才能訪問對應(yīng)資源，basic auth能滿足您的基本需求，如您現(xiàn)在有一個法律文件，需要臨時共享給您的代理方查閱，但是又擔(dān)心隱私泄漏，basic auth將是一個非常合適的選擇

2. basic auth非常容易集成到一些只提供維護(hù)不提供更新的老舊系統(tǒng)里， 部分系統(tǒng)或者站點(diǎn)因?yàn)楦黝愒蚩赡懿辉偕壷惶峁┗揪S護(hù)， 此時該類系統(tǒng)對新驗(yàn)證方式的支持程度可能有限， 而basic auth只依賴最基礎(chǔ)的HTTP Header， 他可以非常輕松的嵌入到各類高校/政企內(nèi)部系統(tǒng)中提供對安全的一層保障

ZeroNews最佳實(shí)踐

basic auth是ZeroNews中最容易配置的高級特性，不依賴任何外部認(rèn)證系統(tǒng)，它非常適合一些臨時共享項(xiàng)目，保護(hù)內(nèi)部API不被侵?jǐn)_，或者開發(fā)測試階段的局部認(rèn)證功能，在生產(chǎn)環(huán)境中，如果對安全策略有更高級別的要求，可以考慮使用更先進(jìn)的認(rèn)證模式（如OAUTH 2 / JWT等），同時可以考慮ZeroNews IP Policy 去對訪問端IP 進(jìn)行精準(zhǔn)控制以達(dá)到跟高級別安全標(biāo)準(zhǔn)的要求

審核編輯 黃宇