本文将详细介绍csrf插件功能、配置和使用。 功能说明 csrf 插件可保护用户的 API 免于 CSRF 攻击。 在此插件运行时，GET、HEAD 和 OPTIONS 会被定义为 safemethods，其他的请求方法则定义为 unsafemethods。因此 GET、HEAD 和 OPTIONS 方法的调用不会被检查拦截。 使用 GET 请求 API 时，在响应中会有一个携带了加密 Token 的 Cookie。Token 字段名称为插件配置中的 name 值，默认为 agwcsrftoken。 注意 每一个请求都会返回一个新的 Cookie。 在后续对该路由进行的 unsafemethods 请求中，需要从 Cookie 中读取加密的 Token，并在请求头中携带该 Token。请求头字段的名称为插件属性中的 name。 配置字段 名称 类型 填写要求 默认值 有效值 描述 key string 必填 加密 Token 的密钥。 name string 可选 agwcsrftoken 生成的 Cookie 中的 Token 名称，需要使用此名称在请求头携带 Cookie 中的内容。 expires number 可选 7200 CSRF Cookie 的过期时间，单位为秒。当设置为 0 时，会忽略 CSRF Cookie 过期时间检查。 配置示例 plaintext key: "edd1c9f034335f136f87ad84b625c8f1" 启用插件后，使用 curl 命令尝试直接对该路由发起 POST 请求，会返回 Unauthorized 字样的报错提示： plaintext curl i X POST HTTP/1.1 401 Unauthorized {"errormsg":"no csrf token in headers"} 当发起 GET 请求时，返回结果中会有携带 Token 的 Cookie： plaintext curl i i HTTP/1.1 200 OK SetCookie: agwcsrftokeneyJyYW5kb20iOjAuNzgyMDk5MTE4NjUxNjQsInNpZ24iOiIwNTEyZDFkZDRiMmNjYTIxMTRlYWRhYWUxOTkxNmNiZGYzMWE2ZGI0MzRkNWQ5MzRjODkzZWM3M2ZmNTQxZTJlIiwiZXhwaXJlcyI6MTc0NTQ4ODkxM30;path/;SameSiteLax;ExpiresThu, 24Apr25 12:01:53 GMT 在请求之前，用户需要从 Cookie 中读取 Token，并在后续的 unsafemethods 请求的请求头中携带。 例如，你可以在客户端使用 jscookie 读取 Cookie，使用 axios 发送请求： plaintext const token Cookie.get('agwcsrftoken'); const instance axios.create({ headers: {'agwcsrftoken': token} }); 使用 curl 命令发送请求，确保请求中携带了 Cookie 信息，如果返回 200 HTTP 状态码则表示请求成功： plaintext curl i X POST H 'agwcsrftoken: eyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ' b 'agwcsrftokeneyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ' HTTP/1.1 200 OK

本文将详细介绍clientcontrol插件功能、配置和使用。 功能说明 clientcontrol 插件通过设置客户端请求体大小上限来动态控制客户端的请求。当设置较大的限制时可能导致内存使用增加，需根据实际需求合理配置。 配置字段 名称 类型 填写要求 默认值 有效值 描述 maxbodysize integer 可选 [0,...] 动态设置 clientmaxbodysize 的大小 配置示例 clientcontrol 使用示例 plaintext maxbodysize: 1 根据该场景请求路由 plaintext curl d '123' 由于请求路由的请求体大小超过了所设置的客户端请求体大小上限，请求返回413. plaintext HTTP/1.1 413 Request Entity Too Large ...... 413 Request Entity Too Large 413 Request Entity Too Large openresty Powered by CGW. 配置模板 plaintext [可选]设置客户端请求体大小上限.有效范围[0,...] maxbodysize: 1024

本文将详细介绍limitcount插件功能、配置和使用。 功能说明 limitcount 插件使用固定时间窗口算法，主要用于限制单个客户端在指定的时间范围内对服务的总请求数，并且会在 HTTP 响应头中返回剩余可以请求的个数. 配置字段 名称 类型 填写要求 默认值 有效值 描述 count integer 必填 count> 0 每个客户端在指定时间窗口内的总请求数量阈值。 timewindow integer 必填 timewindow> 0 时间窗口的大小（以秒为单位）。超过该属性定义的时间，则会重新开始计数。 rejectedcode integer 可选 503 [200,...,599] 当请求超过阈值被拒绝时，返回的 HTTP 状态码。 keytype string 可选 "var" ["var", "varcombination", "constant"] key 的类型。 key string 可选 "remoteaddr" 用来做请求计数的依据。如果 keytype 为 constant，那么 key 会被当作常量；如果 keytype 为 var，那么 key 会被当作变量；如果 keytype 为 varcombination，那么 key 会被当作变量组合，如 $remoteaddr $consumername，插件会同时受 $remoteaddr 和 $consumername 两个变量的约束；如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedmsg string 可选 非空 当请求超过阈值被拒绝时，返回的响应体。 allowdegradation boolean 可选 false 当插件功能临时不可用时（例如 Redis 超时），当设置为 true 时，则表示可以允许插件降级并进行继续请求的操作。 showlimitquotaheader boolean 可选 true 当设置为 true 时，在响应头中显示 XRateLimitLimit（限制的总请求数）和 XRateLimitRemaining（剩余还可以发送的请求数）字段。

名称 类型 填写要求 默认值 有效值 描述 count integer 必填 count> 0 每个客户端在指定时间窗口内的总请求数量阈值。 timewindow integer 必填 timewindow> 0 时间窗口的大小（以秒为单位）。超过该属性定义的时间，则会重新开始计数。 rejectedcode integer 可选 429 [200,599] 当请求超过阈值被拒绝时，返回的 HTTP 状态码。 keytype string 可选 "var" ["var", "varcombination", "constant"] key 的类型。 key string 可选 "remoteaddr" 用来做请求计数的依据。如果 keytype 为 var，则 key 将被解释为变量。变量不需要以美元符号（$）为前缀。如果 keytype 为 varcombination，那么 key 会被当作变量组合，所有变量都应该以美元符号 ($) 为前缀。如 $remoteaddr $consumername，插件会同时受 $remoteaddr 和 $consumername 两个变量的约束；如果 keytype 为 constant，那么 key 会被当作常量。如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedmsg string 可选 非空 当请求超过阈值被拒绝时，返回的响应体。 showlimitquotaheader boolean 可选 true 当设置为 true 时，在响应头中显示 XRateLimitLimit（限制的总请求数）和 XRateLimitRemaining（剩余还可以发送的请求数）字段。 group string 可选 非空 对多个API设置相同 group，则路由可以共享相同的速率限制计数器。注意同一个group下的插件配置值需相同。 policy string 可选 "local" ["local","redis"] 速率限制计数器的策略。如果是 local，则计数器存储在本地内存中，按照单个实例节点计数。如果是 redis，则计数器存储在 Redis 实例上，按照实例集群计数。 redishost string 当 policy 为 redis 时必填 Redis 节点的地址。 redisport integer 当 policy 为 redis 时必填 6379 [1,65535] Redis 节点的端口。 redisusername string 可选 如果使用 Redis ACL，则为 Redis 的用户名。如果使用旧式身份验证方法 requirepass，则仅配置 redispassword。 redispassword string 可选 Redis 节点的密码。

名称 类型 填写要求 默认值 有效值 描述 allowlist array[string] 可选 加入白名单的 UserAgent。 denylist array[string] 可选 加入黑名单的 UserAgent。 message string 可选 "Not allowed" 字符数[1,1024] 当未允许的 UserAgent 访问时返回的信息。 bypassmissing boolean 可选 false 当设置为 true 时，如果 UserAgent 请求头不存在或格式有误时，将绕过检查。

名称 类型 填写要求 默认值 有效值 描述 duration number 必填 延迟时间，可以指定小数 percentage integer 可选 [0, 100] 将被延迟的请求占比 vars array[] 可选 执行请求延迟的规则，当规则匹配通过后才会执行故障注。vars 是一个表达式的列表，来自

operatorlist)。 子项delay中每一项的配置字段说明如下。 名称 类型 填写要求 默认值 有效值 描述 duration number 必填 延迟时间，可以指定小数 percentage integer 可选 [0, 100] 将被延迟的请求占比 vars array[] 可选 执行请求延迟的规则，当规则匹配通过后才会执行故障注。vars 是一个表达式的列表，来自 luarestyexpr。 注： vars 是由 luarestyexpr 的表达式组成的列表，它可以灵活的实现规则之间的 AND/OR 关系，示例如下： plaintext [ [ [ "argname","","jack" ], [ "argage","",18 ] ], [ [ "argname2","","allen" ] ] ] 以上示例表示前两个表达式之间的关系是 AND，而前两个和第三个表达式之间的关系是 OR。 配置示例 场景1：故障注入 plaintext abort: httpstatus: 503 body: "Fault Injection!" 根据该配置，路由请求时会被拦截，返回自定义的状态码和响应体。 场景2：请求延迟 plaintext delay: duration: 3 根据该配置，路由请求时会延迟3秒后再执行 场景3：带条件的故障注入和请求延迟 plaintext abort: httpstatus: 504 body: "Fault Injection!" vars: [ [ [ "argname","","jack" ] ] ] delay: duration: 3 vars: [ [ [ "httpage","","18" ] ] ] 根据该配置，当请求参数中name值为jack的路由时会被拦截 plaintext curl HTTP/1.1 503 Service Temporarily Unavailable ...... Fault Injection! 当请求header中age值为18的路由时会延迟3秒执行 plaintext time curl H 'age: 18' HTTP/1.1 200 ...... real 0m3.008s user 0m0.003s sys 0m0.003s

本文将详细介绍uriblocker插件功能、配置和使用。 功能说明 uriblocker 插件通过指定一系列 blockrules 来拦截用户请求，实现了基于URI屏蔽HTTP请求，并且自定义返回码和响应体，可以用于防护部分资源不对外部暴露。 配置字段 名称 类型 填写要求 默认值 有效值 描述 blockrules array[string] 必填 正则过滤数组。它们都是正则规则，如果当前请求 URI 命中其中任何一个，则将响应代码设置为 rejectedcode 以退出当前用户请求。例如：["root.exe", "root.m+"]。 rejectedcode integer 可选 403 [200, ...] 当请求 URI 命中 blockrules 中的任何一个时，将返回的 HTTP 状态代码。 rejectedmsg string 可选 非空 当请求 URI 命中 blockrules 中的任何一个时，将返回的 HTTP 响应体。 caseinsensitive boolean 可选 false 是否忽略大小写。当设置为 true 时，在匹配请求 URI 时将忽略大小写。 配置示例 uriblocker 使用示例 plaintext blockrules: root.m+ root.exe rejectedcode: 405 rejectedmsg: “This uri is not allowed to be visited” caseinsensitive: true 根据该场景请求路由 plaintext curl curl 当前请求的URI命中了配置中的正则表达式，且在匹配时忽略大小写。请求将返回应答如下 plaintext HTTP/1.1 405 Not Allowed ...... {"errormsg":"This uri is not allowed to be visited"}

参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 接口业务数据 returnObj

接口功能介绍 创建targetgroup 接口约束 无 URI POST /v4/gwlb/createtargetgroup 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池 ID bb9fdb42056f11eda1610242ac110002 name 是 String 支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 test description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@ $%^&()+ <>?:"{},./;'[]·！@ ￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 desc vpcID 是 String 虚拟私有云 ID vpcxxxx healthCheckID 否 String 健康检查 ID hcxxxx sessionStickyMode 否 Integer 流保持类型,0:关闭, 4:二元组, 5:三元组，6:五元组 0 failoverType 否 Integer 故障转移类型 1 表示关闭，2 表示再平衡 1 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 接口业务数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 targetGroupID String 后端服务组ID tgxxxx

参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 接口业务数据 returnObj

本章节介绍消费者调用API签名计算 签名过程 客户端 1. 从原始请求中提取关键请求信息，构造签名字符串； 2. 利用加密算法和AppSecret对签名字符串进行加密处理，得到签名； 3. 将签名相关的头部信息加入到原始请求中，发送请求； 服务端 1. 从接收到的请求中提取关键请求信息，得到一个用来签名的签名串； 2. 从接收到的请求中读取APPKey，通过APPKey查询到对应的APPSecret； 3. 使用加密算法和APPSecret对关键请求信息签名串进行加密处理，得到签名； 4. 从接收到的请求中读取客户端签名，对比服务器端签名和客户端签名的一致性。 签名生成公式 签名的计算公式为signature HMACSHAxHEX(secretkey, signingstring)，从公式可以看出，想要获得签名需要得到 secretkey 和 signingstring 两个参数。其中 secretkey 为对应应用所配置的，signingstring 的计算公式为 signingstring HTTP Method + n + HTTP URI + n + canonicalquerystring + n + accesskey + n + Date + n + signedheadersstring。如果 signingstring 中的某一项不存在，也需要使用一个空字符串代替。 字段解释 1. HTTP Method：指 HTTP 协议中定义的 GET、PUT、POST 等请求方法，必须使用全大写的形式。 2. HTTP URI：要求必须以“/”开头，不以“/”开头的需要补充上，空路径为“/”。 3. Date：请求头中的 Date （ GMT 格式 ）。 4. canonicalquerystring：是对于 URL 中的 query（ query 即 URL 中 ? 后面的 key1valve1&key2valve2 字符串）进行编码后的结果。 5. signedheadersstring：是从请求头中获取客户端指定的字段，并按顺序拼接字符串的结果。 其中canonicalquerystring 编码步骤如下： 提取URL 中的 query 项，即 URL 中 ? 后面的 key1valve1&key2valve2 字符串。 将query 根据&分隔符拆开成若干项，每一项是 keyvalue 或者只有 key 的形式。 当该项只有key 时，转换公式为 urlencode(key) + "" 的形式。 当该项是keyvalue 的形式时，转换公式为 urlencode(key) + "" + urlencode(value) 的形式。这里 value 可以是空字符串。 将每一项转换后，以key 按照字典顺序（ ASCII 码由小到大）排序，并使用 & 符号连接起来，生成相应的 canonicalquerystring 。

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性, 长度 1 64 123e4567e89b12d3a456426655440000 regionID String 是 共享带宽的区域id。 81f7728662dd11ec810800155d307d5b bandwidthID String 是 共享带宽id。 bandwidthsjwu65pf9t bandwidth Integer 是 共享带宽的带宽峰值。 5

状态码 描述 200 表示请求成功。

请求示例 POST /v4/ipv6bandwidth/querycreateprice 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "clientToken": "Xxxxx", "cycleType": "year", "bandwidth": 5, "cycleCount": 1, "name": "test" } 响应示例 json { "statusCode": 800, "message": "success", "description": "", "errorCode": "SUCCESS", "returnObj": { "discountPrice": 1101.6, "totalPrice": 1836, "finalPrice": 1101.6, "subOrderPrices": [ { "totalPrice": 1836, "finalPrice": 1101.6, "serviceTag": "OVMS", "orderItemPrices": [ { "resourceType": "NETWORK", "totalPrice": 1836, "finalPrice": 1101.6 } ] } ] } } 状态码 状态码 描述 :: 200 表示请求成功。 错误码 请参考错误码说明。

参数 参数类型 说明 示例 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 业务数据 见下表

状态码 描述 200 表示请求成功。

状态码 描述 200 表示请求成功。

请求示例 POST /v4/ipv6bandwidth/create 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "clientToken": "Xxxxx", "cycleType": "year", "bandwidth": 5, "cycleCount": 1, "name": "2222" } 响应示例 json { "statusCode": 800, "message": "success", "description": "成功", "errorCode": "SUCCESS", "returnObj": { "masterOrderID": "ee508bcc586211ed961bacde48001122", "masterOrderNO": null, "masterResourceID": "d48cace2da7b4c81b4c0444768a04608", "masterResourceStatus": "started", "regionID": "81f7728662dd11ec810800155d307d5b", "bandwidthID": "bandwidthxxxxx" } } 状态码 状态码 描述 :: 200 表示请求成功。 错误码 请参考 错误码说明。

参数 参数类型 是否必填 说明 示例 regionID String 是 资源池 ID 81f7728662dd11ec810800155d307d5b bandwidthID String 是 IPv6 带宽 ID bandwidthsjwu65pf9t ip String 是 IPv6 地址 ff06::c3

参数 参数类型 是否必填 说明 示例 regionID String 是 资源池 ID 81f7728662dd11ec810800155d307d5b bandwidthID String 是 IPv6 带宽 ID bandwidthsjwu65pf9t name String 是 IPv6 带宽名字，支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 updateit

参数 参数类型 说明 示例 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS

参数 参数类型 说明 示例 下级对象 targetGroupID String 后端服务组ID tgxxxx

参数 参数类型 说明 示例 下级对象 targetID String 后端服务ID targetxxxx

状态码 描述 200 表示请求成功。

参数 参数类型 说明 示例 下级对象 body String API/Route调试时的请求body header String API/Route调试时的请求header method String API/Route调试时的请求方法 token String API/Route调试时的请求token url String API/Route调试时的请求url

响应示例 { "message": "String", "returnObj": {}, "statusCode": 2000 } 状态码 请参考 状态码 错误码 请参考 错误码

本章节为您介绍运维日志相关内容。 运维日志模块是保障数据库运维操作安全和合规的重要工具，通过记录和分析与数据库运维相关的操作日 志 ，帮助您确保运维操作的透明性和合法性。 该模块提供详细的日志信息和多条件筛选功能 ，支持安全 监控和问题排查 ，确保运维操作的合规性 ，有效提升数据库的运维管理水平。 运维日志主要包含 ： 身份权限相关日志 账号过期相关日志 僵尸账号相关日志 安全认证相关日志 登录超时相关日志 强管控阻断相关日志 检索运维日志 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关运维日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看运维日志详情 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.在运维日志列表中，单击日志条目右侧的“详情”可以查看该运维记录的详细信息，包括运维记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击运维日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的运维日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的运维日志详情文件。

添加到信任规则 根据告警日志里的信息，可以选择客户端工具、数据库账号、客户端 、操作类型等属性生成一条新的信任规则，对于符合信任规则的请求将不再告警。 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.在告警日志列表中选择一条需要加到信任规则的告警日志，单击“详情”按钮，在告警日志详细页，单击下方“添加到信任规则”按钮。 3.勾选需要信任属性后 ，单击“确定”按钮 ，则成功添加到信任规则。

本章主要介绍创建凭据。 创建凭据 步骤 1 在左侧导航栏选择“API 管理> 凭据管理”，进入到凭据管理信息页面。 步骤 2 单击“创建凭据”，填写凭据信息。 应用信息表 信息项 描述 应凭据名称 填写凭据名称，建议您按照一定的命名规则填写，方便您快速识别和查找。 描述 对凭据的介绍。 步骤 3 单击 确定 。 已创建凭据名称，进入凭据详情页面，查看AppKey和AppSecret。 绑定API 步骤 1 在已创建凭据所在行，单击“绑定API”。 步骤 2 选择开放API中的授权环境、API分组和API，单击“确定”，完成API绑定策略。

本章主要介绍添加AppCode。 步骤 1 在凭据列表中单击已创建凭据名称，进入凭据详情。 步骤 2 在“AppCodes”区域。 步骤 3 单击“添加AppCode”。 步骤 4 在弹窗中选择“自动生成”生成方式。 步骤 5 单击“确定”。

本章主要介绍调用API。 使用接口测试工具配置调用信息。 步骤 1 获取API请求信息。 为简单起见，此处通过线下传递方式获取API及文档。API调用者可以从中获取API认证方式，请求方法，请求路径等信息。 步骤 2 增加Header参数名称：XApigAppCode，参数值填为简易认证添加AppCode。 步骤 3 增加Header参数名称：xstage，参数值为创建环境（可选）。若API发布到RELEASE环境不需执行此步骤。 步骤 4 单击“Send”发送请求。 调用成功后，显示“200 OK”。