概述
本篇文档介绍如何配置 EdgeOne 客户端认证规则,用于决定何时对客户端触发认证(挑战)。认证规则通过匹配请求特征,按设定优先级进行排序,当请求满足规则条件时,会执行关联的认证方式。本文说明规则的匹配机制、优先级设计和各字段含义。
说明:
客户端认证规则暂不支持使用其他站点内配置的认证方式或 API 资源。
客户端认证暂不支持在跨站点部署的策略模板中使用。
操作步骤
示例场景
对访问在线零售站点
www.examplestore.com 站点下单接口 /api/order.json 的客户端进行安全认证,要求 H5 客户端、iOS 和 Android 移动端访问下单接口时,需要提前使用 腾讯云验证码 进行校验,并静默处理高风险的客户端访问。操作步骤
注意:
1. 开始进行此处操作步骤前,请确保已在 腾讯云验证码产品控制台 创建
图形验证实例。2. 如使用腾讯云风险识别 RCE进行客户端认证,请提前在 腾讯云风险识别 RCE 控制台 创建
风控策略实例。3. 如希望对浏览器或 WebView 客户端自动部署 SDK,请先完成 浏览器和 WebView 端集成步骤 并测试验证。
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:
www.examplestore.com。3. 定位到 Bot 管理卡片,单击客户端认证下方的添加规则,进入配置页面。
4. 填写规则名称,配置判断条件、认证方式及不同风险客户端的处置选项。以示例场景为例,在匹配条件选项中,选择请求路径匹配;在认证策略选项中,选择提供方为腾讯云验证码的自定义认证选项
Invisible CAPTCHA。5. 在认证策略中,依次逐项添加允许访问的客户端类型。
对于每个允许访问的客户端类型,配置不同风险请求的处置选项。
对不符合认证要求的请求,配置处置选项。
6. 单击保存并发布后,规则将部署生效。
相关参考
客户端认证规则说明
EdgeOne 的客户端认证规则在 Web 防护 下,Bot 管理模块中配置,每条规则包含以下几个配置部分:
匹配条件:认证规则的生效范围。
匹配条件包括请求 URL 和请求头部 中的字段,如:Host、URL、请求路径(Path)、指定请求头部等;也可以引用 API 资源作为匹配条件。
规则可设置一个或多个匹配条件,只有当请求满足所有条件时,该规则才生效。
认证方式:要求客户端提供的有效认证凭证中,必须包含的认证方式。
对已经集成了认证所需 SDK,但未及时进行认证的客户端请求,将响应 HTTP 428,要求客户端补充额外凭证。详情请参见 HTTP 428 挑战的处理流程。
对已经具有该认证方式凭证,但凭证已过期的请求,将响应 HTTP 428,要求客户端补充额外凭证。详情请参见 HTTP 428 挑战的处理流程。
其他未提供已完成该认证方式有效凭证的请求,将按不满足认证要求的方式处置。
设备认证策略:配置不同类型客户端请求的认证要求和处置方式。
设备类型:可选择 浏览器/WebView、iOS 和 Android 客户端。完成客户端集成后,认证 SDK 将在认证凭证中携带其认证的客户端类型,规则将基于该标识,采用对应设备的认证策略。
请求风险评分:基于认证方提供的认证结果详情进行风险评分,可基于配置的评分区间,将请求分类至高风险请求、中风险请求、低风险请求,进行处置。如认证方支持评分,将直接使用认证方的评分结果。
说明:评分范围为 0-100,0 表示该认证方式未提示风险,100 表示认证结果明确提示高风险请求。
处置方式:可选择包括拦截、静默在内的多种处置方式。对低风险请求,仅支持使用观察选项(仅记录日志,不进行处理)。使用观察处置方式的请求,将继续匹配其余客户端认证规则。
不满足认证要求时,处置请求的方式:未集成客户端 SDK 或提供的认证凭证不合法时,使用指定方式进行处置。
优先级:首先匹配优先级较高(优先级数值较小)的规则,若规则未被拦截或挑战,则继续匹配其他规则。
