外部授权

• 网络层过滤器配置。

• HTTP 过滤器配置。

外部授权过滤器调用授权服务以检查传入请求是否被授权。过滤器可以配置为 网络层过滤器 或 HTTP 过滤器 或同时配置两者。如果该请求被网络层过滤器视为未被授权，则连接将被关闭。如果该请求在 HTTP 过滤器中被视为未被授权，则该请求将被 403（禁止）响应拒绝。

Tip

建议将授权过滤器配置为过滤器链中的第一个过滤器，以便在其余过滤器处理请求之前对请求进行授权处理。

外部授权服务群集可以是静态配置的，也可以是通过 集群服务发现 配置的。如果在请求到达时外部服务不可用，则该请求是否被授权由 网络层过滤器 或 HTTP 过滤器 中的 failure_mode_allow 配置项的设置决定。如果将其设置为 true，则该请求将被放行（故障打开），否则将被拒绝。 默认设置为 false。

服务定义

与外部授权服务通信的上下文使用此处的定义 传递给授权服务的请求内容由 CheckRequest 指定。

• Attribute Context
  • service.auth.v3.AttributeContext
  • service.auth.v3.AttributeContext.Peer
  • service.auth.v3.AttributeContext.Request
  • service.auth.v3.AttributeContext.HttpRequest
• Authorization Service
  • service.auth.v3.CheckRequest
  • service.auth.v3.DeniedHttpResponse
  • service.auth.v3.OkHttpResponse
  • service.auth.v3.CheckResponse