basic auth （基本權(quán)限驗(yàn)證）是HTTP標(biāo)準(zhǔn)協(xié)議在RFC 7235條中定義的一層基本權(quán)限控制規(guī)范，當(dāng)外部請(qǐng)求訪問(wèn)設(shè)定了basic auth 規(guī)則的站點(diǎn)或者url時(shí)，會(huì)強(qiáng)制要求輸入指定的用戶名及密碼才能對(duì)站點(diǎn)內(nèi)容進(jìn)行讀取操作，否則將會(huì)直接被拒絕訪問(wèn)

ZeroNews在內(nèi)部規(guī)則引擎中已經(jīng)實(shí)現(xiàn)該能力，該博文將闡述ZeroNews basic auth的工作模式以及如何以0代碼門檻通過(guò)ZeroNews平臺(tái)快速便捷的為你的指定站點(diǎn)追加該策略

ZeroNews basic auth 基本工作原理

作為流量治理網(wǎng)關(guān)，ZeroNews 邊緣節(jié)點(diǎn)會(huì)將訪問(wèn)端的流量安全實(shí)時(shí)的轉(zhuǎn)發(fā)到用戶內(nèi)網(wǎng)服務(wù), 如果用戶設(shè)置了basic auth 策略，那么當(dāng)針對(duì)該映射的HTTP 請(qǐng)求 到達(dá)ZeroNews 邊緣節(jié)點(diǎn)時(shí)， ZeroNews會(huì)直接返回 驗(yàn)證模塊 提示訪問(wèn)者輸入對(duì)應(yīng)username 及password， 只有在ZeroNews 驗(yàn)證成功識(shí)別請(qǐng)求方為合法預(yù)期訪問(wèn)者以后才會(huì)將外部請(qǐng)求轉(zhuǎn)發(fā)到用戶內(nèi)網(wǎng)，反之，在驗(yàn)證失敗的情況下， 用戶內(nèi)網(wǎng)會(huì)被ZeroNews 邊緣節(jié)點(diǎn)安全隔離，不會(huì)受到任何惡意請(qǐng)求的污染及攻擊

如何集成ZeroNews basic auth 到已有的映射上？

用戶可以在ZeroNews用戶平臺(tái)映射模塊中針對(duì)映射配置對(duì)應(yīng)的basic auth policy（鑒權(quán)認(rèn)證）

選擇/創(chuàng)建 對(duì)應(yīng)用戶名以后點(diǎn)擊保存按鈕，對(duì)應(yīng)basic auth policy 代碼及配置相關(guān)的事情將由ZeroNews自動(dòng)實(shí)現(xiàn)，此時(shí)訪問(wèn)對(duì)應(yīng)站點(diǎn)，則會(huì)要求訪問(wèn)者提供指定的用戶名及密碼，否則無(wú)法訪問(wèn)

ZeroNews basic auth 作用域范圍

ZeroNews 嚴(yán)格基于HTTP標(biāo)準(zhǔn)規(guī)范RFC 7235實(shí)現(xiàn)， 在CURL， 瀏覽器訪問(wèn)及常規(guī)HTTP請(qǐng)求中都會(huì)生效， 上面我們已經(jīng)演示了瀏覽器頁(yè)面訪問(wèn)，但是如規(guī)范所說(shuō)，basic auth 的能力遠(yuǎn)不止如此， 我們依舊可以在API請(qǐng)求 及 curl等常規(guī)HTTP場(chǎng)景中使用該能力

ZeroNews 提供一個(gè)測(cè)試站點(diǎn)，其訪問(wèn)端點(diǎn)為: https://***.com

curl 案例

您可嘗試通過(guò)curl 去獲取該站點(diǎn)的內(nèi)容

ApiPost案例

您也可以通過(guò)Postman / ApiPost 或者 axios / fetch / http client 等任意Api client 嘗試對(duì)該站點(diǎn)進(jìn)行請(qǐng)求

當(dāng)basic auth 信息缺失時(shí)， ZeroNews 邊緣節(jié)點(diǎn)會(huì)直接拒絕請(qǐng)求, 只有如下方正確添加了basic auth信息的請(qǐng)求才會(huì)被ZeroNews邊緣節(jié)點(diǎn)受理并轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)

在什么場(chǎng)景下需要用到basic auth？

1. 在針對(duì)一些敏感資源（如文件，內(nèi)部站點(diǎn)）的臨時(shí)分享，您只想讓部分經(jīng)過(guò)您允許的訪問(wèn)者才能訪問(wèn)對(duì)應(yīng)資源，basic auth能滿足您的基本需求，如您現(xiàn)在有一個(gè)法律文件，需要臨時(shí)共享給您的代理方查閱，但是又擔(dān)心隱私泄漏，basic auth將是一個(gè)非常合適的選擇

2. basic auth非常容易集成到一些只提供維護(hù)不提供更新的老舊系統(tǒng)里， 部分系統(tǒng)或者站點(diǎn)因?yàn)楦黝愒蚩赡懿辉偕?jí)只提供基本維護(hù)， 此時(shí)該類系統(tǒng)對(duì)新驗(yàn)證方式的支持程度可能有限， 而basic auth只依賴最基礎(chǔ)的HTTP Header， 他可以非常輕松的嵌入到各類高校/政企內(nèi)部系統(tǒng)中提供對(duì)安全的一層保障

ZeroNews最佳實(shí)踐

basic auth是ZeroNews中最容易配置的高級(jí)特性，不依賴任何外部認(rèn)證系統(tǒng)，它非常適合一些臨時(shí)共享項(xiàng)目，保護(hù)內(nèi)部API不被侵?jǐn)_，或者開(kāi)發(fā)測(cè)試階段的局部認(rèn)證功能，在生產(chǎn)環(huán)境中，如果對(duì)安全策略有更高級(jí)別的要求，可以考慮使用更先進(jìn)的認(rèn)證模式（如OAUTH 2 / JWT等），同時(shí)可以考慮ZeroNews IP Policy 去對(duì)訪問(wèn)端IP 進(jìn)行精準(zhǔn)控制以達(dá)到跟高級(jí)別安全標(biāo)準(zhǔn)的要求

審核編輯 黃宇