qwxingzhe opened a new issue #3080: URL: https://github.com/apache/apisix/issues/3080
### Issue description 如何实现url附带业务参数鉴权? 场景是,三方携带token访问报告页面,需要鉴权,每个用户有自己的 secret,比如token = report_id . time . md5(report_id . secret . time ),我们想在网关层面对此鉴权,但鉴权的逻辑是一个独立的微服务。 目前实现方案是使用 authz-keycloak 插件,将token_endpoint地址填为自己的鉴权服务地址,微服务中通过获取 Authorization 来鉴权。 但是这样存在一个问题,三方变更url参数后(报告id非自身的),使用之前合法的token依旧可以访问到服务。 能否在 authz-keycloak 中加入url参数,或者有其他方案解决此问题吗? ### Environment * apisix version (cmd: `apisix version`):2.0-alpine * OS:centos 7 ---------------------------------------------------------------- This is an automated message from the Apache Git Service. To respond to the message, please log on to GitHub and use the URL above to go to the specific comment. For queries about this service, please contact Infrastructure at: [email protected]
