basic auth （基本權限驗證）是HTTP標準協議在RFC 7235條中定義的一層基本權限控制規范，當外部請求訪問設定了basic auth 規則的站點或者url時，會強制要求輸入指定的用戶名及密碼才能對站點內容進行讀取操作，否則將會直接被拒絕訪問

ZeroNews在內部規則引擎中已經實現該能力，該博文將闡述ZeroNews basic auth的工作模式以及如何以0代碼門檻通過ZeroNews平臺快速便捷的為你的指定站點追加該策略

ZeroNews basic auth 基本工作原理

作為流量治理網關，ZeroNews 邊緣節點會將訪問端的流量安全實時的轉發到用戶內網服務, 如果用戶設置了basic auth 策略，那么當針對該映射的HTTP 請求 到達ZeroNews 邊緣節點時， ZeroNews會直接返回 驗證模塊 提示訪問者輸入對應username 及password， 只有在ZeroNews 驗證成功識別請求方為合法預期訪問者以后才會將外部請求轉發到用戶內網，反之，在驗證失敗的情況下， 用戶內網會被ZeroNews 邊緣節點安全隔離，不會受到任何惡意請求的污染及攻擊

如何集成ZeroNews basic auth 到已有的映射上？

用戶可以在ZeroNews用戶平臺映射模塊中針對映射配置對應的basic auth policy（鑒權認證）

選擇/創建 對應用戶名以后點擊保存按鈕，對應basic auth policy 代碼及配置相關的事情將由ZeroNews自動實現，此時訪問對應站點，則會要求訪問者提供指定的用戶名及密碼，否則無法訪問

ZeroNews basic auth 作用域范圍

ZeroNews 嚴格基于HTTP標準規范RFC 7235實現， 在CURL， 瀏覽器訪問及常規HTTP請求中都會生效， 上面我們已經演示了瀏覽器頁面訪問，但是如規范所說，basic auth 的能力遠不止如此， 我們依舊可以在API請求 及 curl等常規HTTP場景中使用該能力

ZeroNews 提供一個測試站點，其訪問端點為: https://***.com

curl 案例

您可嘗試通過curl 去獲取該站點的內容

ApiPost案例

您也可以通過Postman / ApiPost 或者 axios / fetch / http client 等任意Api client 嘗試對該站點進行請求

當basic auth 信息缺失時， ZeroNews 邊緣節點會直接拒絕請求, 只有如下方正確添加了basic auth信息的請求才會被ZeroNews邊緣節點受理并轉發給內網服務

在什么場景下需要用到basic auth？

1. 在針對一些敏感資源（如文件，內部站點）的臨時分享，您只想讓部分經過您允許的訪問者才能訪問對應資源，basic auth能滿足您的基本需求，如您現在有一個法律文件，需要臨時共享給您的代理方查閱，但是又擔心隱私泄漏，basic auth將是一個非常合適的選擇

2. basic auth非常容易集成到一些只提供維護不提供更新的老舊系統里， 部分系統或者站點因為各類原因可能不再升級只提供基本維護， 此時該類系統對新驗證方式的支持程度可能有限， 而basic auth只依賴最基礎的HTTP Header， 他可以非常輕松的嵌入到各類高校/政企內部系統中提供對安全的一層保障

ZeroNews最佳實踐

basic auth是ZeroNews中最容易配置的高級特性，不依賴任何外部認證系統，它非常適合一些臨時共享項目，保護內部API不被侵擾，或者開發測試階段的局部認證功能，在生產環境中，如果對安全策略有更高級別的要求，可以考慮使用更先進的認證模式（如OAUTH 2 / JWT等），同時可以考慮ZeroNews IP Policy 去對訪問端IP 進行精準控制以達到跟高級別安全標準的要求

審核編輯 黃宇