Kong Managerのセッション

ユーザーが自分の認証情報を使ってKong Managerにログインすると、セッションプラグインはセッションCookieを作成します。このCookieは後続のすべてのリクエストに使用され、ユーザーの認証に有効です。セッションの有効期間は限られており、構成可能な間隔で更新されるため、セッション終了後に攻撃者が古いCookieを取得して使用することを防ぐことができます。

Session 設定はデフォルトでセキュアになっており、 Admin API と Kong Manager に HTTP または異なるドメインを使用する場合は変更が必要な場合があります 。クッキーは暗号化されているので、たとえ攻撃者が古いものを入手しようとしても 、彼らにメリットはありません。暗号化された セッションデータは Kong またはクッキー自体に保存されます。

Kong Manager のセションプラグインを設定

セッション認証を有効にするには、次の項目を設定します。

enforce_rbac = on
admin_gui_auth = <set to desired auth type id="sl-md0000000">
admin_gui_session_conf = {
    "secret":"<set_secret id="sl-md0000000">",
    "cookie_name":"<set_cookie_name id="sl-md0000000">",
    "storage":"<set_storage id="sl-md0000000">",
    "rolling_timeout":<number_of_seconds_until_renewal id="sl-md0000000">,
    "cookie_secure":<set_depending_on_protocol id="sl-md0000000">
    "cookie_same_site":"<set_depending_on_domain id="sl-md0000000">"
}

重要: 以下のプロパティは Kong Manager で使用するため、デフォルトから変更 しない でください。

• logout_methods
• logout_query_arg
• logout_post_arg

各設定プロパティの詳細な説明については、Session プラグインのドキュメントを参照してください。

Sessionのセキュリティ

Session構成はデフォルトでセキュアであるため、クッキーはSecure, HttpOnlyとSameSiteディレクトリを使用します。

以下のプロパティは、使用中のプロトコルとドメインに応じて変更する必要があります。

• HTTPSの代わりにHTTPを使用する場合："cookie_secure": false
• Admin APIとKong Managerに異なるドメインを使用する場合: "cookie_same_site": "Lax"

重要: "storage": "cookie"（デフォルト）が使用されている場合、ユーザーがログアウトしてもセッションは無効になりません。その場合、cookieはクライアント側で削除されます。セッションデータが"storage": "kong"セットでサーバー側に保存されている場合のみ、セッションはアクティブに無効になります。

構成例

HTTPSを使用し、Kong ManagerとAdmin APIを同じドメインからホストする場合、 Basic Authには次の構成を使用できます。

enforce_rbac = on
admin_gui_auth = basic-auth
admin_gui_session_conf = {
    "cookie_name":"$4m04$",
    "secret":"change-this-secret",
    "storage":"kong"
}

テストでは、HTTPを使用する場合は、代わりに次の構成を使用できます。

enforce_rbac = on
admin_gui_auth = basic-auth
admin_gui_session_conf = {
    "cookie_name":"04tm34l",
    "secret":"change-this-secret",
    "storage":"kong",
    "cookie_secure":false
}