OAuth 2.0 Introspection Configuration

このページは、まだ日本語ではご利用いただけません。翻訳中です。

古いプラグインバージョンのドキュメントを閲覧しています。

構成

このプラグインはDBレスモードに対応しています。

パラメータ

このプラグインの設定で使用できるすべてのパラメータのリストは次のとおりです。

• name or plugin

  string required

  プラグイン名。この場合は oauth2-introspection 。

  • Kong Admin API、Kong Konnect API、宣言型構成、または decK ファイルを使用する場合、フィールドはnameです。
  • Kubernetes で KongPlugin オブジェクトを使用する場合、フィールドはpluginです。

• service.name or service.id

  string

  プラグインが対象とするサービス名または ID。最上位の /plugins エンドポイント. からプラグインをサービスに追加する場合は、これらのパラメータのいずれかを設定してください /services/{serviceName|Id}/plugins を使用する場合は必要ありません。

• route.name or route.id

  string

  プラグインがターゲットとするルート名または ID。最上位の /plugins エンドポイント. を通るルートにプラグインを追加する場合は、これらのパラメータのいずれかを設定してください /routes/{routeName|Id}/plugins を使用する場合は必要ありません。

• enabled

  boolean default: true

  このプラグインが適用されるかどうか。

• config

  record required
  • introspection_url

    string required

    The full URL to the third-party introspection endpoint.

    If the introspection endpoint is https, lua_ssl_trusted_certificate must be set in kong.conf to ensure the plugin can connect to the endpoint. The CA bundle file location depends on your OS. See the configuration reference for a list.

    Starting with Kong v2.2, users can set lua_ssl_trusted_certificate=system to automatically use the CA bundle from the OS.

  • ttl

    number default: 30

    The TTL in seconds for the introspection response. Set to 0 to disable the expiration.

  • token_type_hint

    string

    The token_type_hint value to associate to introspection requests.

  • authorization_value

    string required

    The value to set as the Authorization header when querying the introspection endpoint. This depends on the OAuth 2.0 server, but usually is the client_id and client_secret as a Base64-encoded Basic Auth string (Basic MG9hNWl...).

  • timeout

    integer default: 10000

    An optional timeout in milliseconds when sending data to the upstream server.

  • keepalive

    integer default: 60000

    An optional value in milliseconds that defines how long an idle connection lives before being closed.

  • introspect_request

    boolean required default: false

    A boolean indicating whether to forward information about the current downstream request to the introspect endpoint. If true, headers X-Request-Path and X-Request-Http-Method will be inserted into the introspect request.

  • hide_credentials

    boolean default: false

    An optional boolean value telling the plugin to hide the credential to the upstream API server. It will be removed by Kong before proxying the request.

  • run_on_preflight

    boolean default: true

    A boolean value that indicates whether the plugin should run (and try to authenticate) on OPTIONS preflight requests. If set to false, then OPTIONS requests will always be allowed.

  • anonymous

    string len_min: 0

    An optional string (consumer UUID) value to use as an anonymous consumer if authentication fails. If empty (default), the request fails with an authentication failure 4xx.

  • consumer_by

    string required default: username Must be one of: username, client_id

    A string indicating whether to associate OAuth2 username or client_id with the consumer’s username. OAuth2 username is mapped to a consumer’s username field, while an OAuth2 client_id maps to a consumer’s custom_id.

  • custom_introspection_headers

    map required

    A list of custom headers to be added in the introspection request.

  • custom_claims_forward

    set of type string required

    A list of custom claims to be forwarded from the introspection response to the upstream request. Claims are forwarded in headers with prefix X-Credential-{claim-name}.