basic auth （基本權(quán)限驗證）是HTTP標準協(xié)議在RFC 7235條中定義的一層基本權(quán)限控制規(guī)范，當外部請求訪問設(shè)定了basic auth 規(guī)則的站點或者url時，會強制要求輸入指定的用戶名及密碼才能對站點內(nèi)容進行讀取操作，否則將會直接被拒絕訪問

ZeroNews在內(nèi)部規(guī)則引擎中已經(jīng)實現(xiàn)該能力，該博文將闡述ZeroNews basic auth的工作模式以及如何以0代碼門檻通過ZeroNews平臺快速便捷的為你的指定站點追加該策略

ZeroNews basic auth 基本工作原理

作為流量治理網(wǎng)關(guān)，ZeroNews 邊緣節(jié)點會將訪問端的流量安全實時的轉(zhuǎn)發(fā)到用戶內(nèi)網(wǎng)服務(wù), 如果用戶設(shè)置了basic auth 策略，那么當針對該映射的HTTP 請求 到達ZeroNews 邊緣節(jié)點時， ZeroNews會直接返回 驗證模塊 提示訪問者輸入對應username 及password， 只有在ZeroNews 驗證成功識別請求方為合法預期訪問者以后才會將外部請求轉(zhuǎn)發(fā)到用戶內(nèi)網(wǎng)，反之，在驗證失敗的情況下， 用戶內(nèi)網(wǎng)會被ZeroNews 邊緣節(jié)點安全隔離，不會受到任何惡意請求的污染及攻擊

如何集成ZeroNews basic auth 到已有的映射上？

用戶可以在ZeroNews用戶平臺映射模塊中針對映射配置對應的basic auth policy（鑒權(quán)認證）

選擇/創(chuàng)建 對應用戶名以后點擊保存按鈕，對應basic auth policy 代碼及配置相關(guān)的事情將由ZeroNews自動實現(xiàn)，此時訪問對應站點，則會要求訪問者提供指定的用戶名及密碼，否則無法訪問

ZeroNews basic auth 作用域范圍

ZeroNews 嚴格基于HTTP標準規(guī)范RFC 7235實現(xiàn)， 在CURL， 瀏覽器訪問及常規(guī)HTTP請求中都會生效， 上面我們已經(jīng)演示了瀏覽器頁面訪問，但是如規(guī)范所說，basic auth 的能力遠不止如此， 我們依舊可以在API請求 及 curl等常規(guī)HTTP場景中使用該能力

ZeroNews 提供一個測試站點，其訪問端點為: https://***.com

curl 案例

您可嘗試通過curl 去獲取該站點的內(nèi)容

ApiPost案例

您也可以通過Postman / ApiPost 或者 axios / fetch / http client 等任意Api client 嘗試對該站點進行請求

當basic auth 信息缺失時， ZeroNews 邊緣節(jié)點會直接拒絕請求, 只有如下方正確添加了basic auth信息的請求才會被ZeroNews邊緣節(jié)點受理并轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)

在什么場景下需要用到basic auth？

1. 在針對一些敏感資源（如文件，內(nèi)部站點）的臨時分享，您只想讓部分經(jīng)過您允許的訪問者才能訪問對應資源，basic auth能滿足您的基本需求，如您現(xiàn)在有一個法律文件，需要臨時共享給您的代理方查閱，但是又擔心隱私泄漏，basic auth將是一個非常合適的選擇

2. basic auth非常容易集成到一些只提供維護不提供更新的老舊系統(tǒng)里， 部分系統(tǒng)或者站點因為各類原因可能不再升級只提供基本維護， 此時該類系統(tǒng)對新驗證方式的支持程度可能有限， 而basic auth只依賴最基礎(chǔ)的HTTP Header， 他可以非常輕松的嵌入到各類高校/政企內(nèi)部系統(tǒng)中提供對安全的一層保障

ZeroNews最佳實踐

basic auth是ZeroNews中最容易配置的高級特性，不依賴任何外部認證系統(tǒng)，它非常適合一些臨時共享項目，保護內(nèi)部API不被侵擾，或者開發(fā)測試階段的局部認證功能，在生產(chǎn)環(huán)境中，如果對安全策略有更高級別的要求，可以考慮使用更先進的認證模式（如OAUTH 2 / JWT等），同時可以考慮ZeroNews IP Policy 去對訪問端IP 進行精準控制以達到跟高級別安全標準的要求

審核編輯 黃宇