このページは、まだ日本語ではご利用いただけません。翻訳中です。
古いプラグインバージョンのドキュメントを閲覧しています。
構成
このプラグインはDBレスモードに対応しています。
パラメータ
このプラグインの設定で使用できるすべてのパラメータのリストは次のとおりです。
-
name or plugin
string requiredプラグイン名。この場合は
oauth2-introspection
。- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
name
です。 - Kubernetes で KongPlugin オブジェクトを使用する場合、フィールドは
plugin
です。
- Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドは
-
service.name or service.id
stringプラグインが対象とするサービス名または ID。最上位の
/plugins
エンドポイント. からプラグインをサービスに追加する場合は、これらのパラメータのいずれかを設定してください/services/{serviceName|Id}/plugins
を使用する場合は必要ありません。 -
route.name or route.id
stringプラグインがターゲットとするルート名または ID。最上位の
/plugins
エンドポイント. を通るルートにプラグインを追加する場合は、これらのパラメータのいずれかを設定してください/routes/{routeName|Id}/plugins
を使用する場合は必要ありません。 -
enabled
boolean default:true
このプラグインが適用されるかどうか。
-
config
record required-
introspection_url
string requiredThe full URL to the third-party introspection endpoint.
If the introspection endpoint is
https
,lua_ssl_trusted_certificate
must be set inkong.conf
to ensure the plugin can connect to the endpoint. The CA bundle file location depends on your OS. See the configuration reference for a list.Starting with Kong v2.2, users can set
lua_ssl_trusted_certificate=system
to automatically use the CA bundle from the OS.
-
ttl
number default:30
The TTL in seconds for the introspection response. Set to 0 to disable the expiration.
-
token_type_hint
stringThe
token_type_hint
value to associate to introspection requests.
-
authorization_value
string requiredThe value to set as the
Authorization
header when querying the introspection endpoint. This depends on the OAuth 2.0 server, but usually is theclient_id
andclient_secret
as a Base64-encoded Basic Auth string (Basic MG9hNWl...
).
-
timeout
integer default:10000
An optional timeout in milliseconds when sending data to the upstream server.
-
keepalive
integer default:60000
An optional value in milliseconds that defines how long an idle connection lives before being closed.
-
introspect_request
boolean required default:false
A boolean indicating whether to forward information about the current downstream request to the introspect endpoint. If true, headers
X-Request-Path
andX-Request-Http-Method
will be inserted into the introspect request.
-
hide_credentials
boolean default:false
An optional boolean value telling the plugin to hide the credential to the upstream API server. It will be removed by Kong before proxying the request.
-
run_on_preflight
boolean default:true
A boolean value that indicates whether the plugin should run (and try to authenticate) on
OPTIONS
preflight requests. If set tofalse
, thenOPTIONS
requests will always be allowed.
-
anonymous
string len_min:0
An optional string (consumer UUID) value to use as an anonymous consumer if authentication fails. If empty (default), the request fails with an authentication failure
4xx
.
-
consumer_by
string required default:username
Must be one of:username
,client_id
A string indicating whether to associate OAuth2
username
orclient_id
with the consumer’s username. OAuth2username
is mapped to a consumer’susername
field, while an OAuth2client_id
maps to a consumer’scustom_id
.
-
custom_introspection_headers
map requiredA list of custom headers to be added in the introspection request.
-
custom_claims_forward
set of typestring
requiredA list of custom claims to be forwarded from the introspection response to the upstream request. Claims are forwarded in headers with prefix
X-Credential-{claim-name}
.
-