编辑“︁Airflow API安全”︁（章节）

= Airflow API安全 =

== 介绍 ==  
Apache Airflow 的 '''API安全''' 机制确保用户和系统能够安全地与 Airflow 的 REST API 交互，防止未授权访问和数据泄露。Airflow API 提供了任务触发、DAG 管理、监控等功能，因此保护其安全性至关重要。本节将详细介绍 Airflow API 的安全机制，包括身份验证、授权、加密和最佳实践。

== 身份验证机制 ==  
Airflow 支持多种 API 身份验证方式，适用于不同安全需求的环境：

=== 1. 基本身份验证（Basic Auth） ===  
通过用户名和密码验证，适用于简单场景，但建议仅在 HTTPS 环境下使用。

<syntaxhighlight lang="python">
# 示例：使用 requests 调用 Airflow API（Basic Auth）
import requests

url = "http://<airflow-server>/api/v1/dags"
response = requests.get(
    url,
    auth=('username', 'password'),
    headers={'Content-Type': 'application/json'}
)
print(response.json())
</syntaxhighlight>

'''输出示例：'''  
<pre>
{
  "dags": [
    {"dag_id": "example_dag", "is_paused": false},
    ...
  ]
}
</pre>

=== 2. JWT（JSON Web Tokens） ===  
Airflow 支持 JWT 身份验证，适用于分布式系统和自动化脚本。需在 `airflow.cfg` 中配置密钥和算法。

<syntaxhighlight lang="python">
# 示例：生成 JWT 并调用 API
import jwt
import requests

secret_key = "your-secret-key"
payload = {"user": "admin"}
token = jwt.encode(payload, secret_key, algorithm="HS256")

response = requests.get(
    "http://<airflow-server>/api/v1/dags",
    headers={"Authorization": f"Bearer {token}"}
)
</syntaxhighlight>

=== 3. OAuth ===  
集成第三方身份提供商（如 Google、GitHub），适合企业级部署。需配置 `airflow.cfg` 中的 `[api]` 部分。

== 授权与角色管理 ==  
Airflow 使用基于角色的访问控制（RBAC）限制 API 操作权限。默认角色包括：
* '''Admin'''：完全访问权限。
* '''User'''：仅限查看和触发 DAG。
* '''Op'''：可操作任务实例。

通过 Flask AppBuilder（FAB）管理角色，可在 Airflow UI 的 `Security -> Roles` 中配置。

== 加密与 HTTPS ==  
为确保数据传输安全：
1. 启用 HTTPS（例如使用 Nginx 反向代理配置 SSL/TLS）。
2. 在 `airflow.cfg` 中设置 `[webserver]` 的 `web_server_ssl_cert` 和 `web_server_ssl_key`。

== 实际案例 ==  
'''场景：自动化 DAG 触发与安全审计'''  
某公司使用 Airflow API 实现 CI/CD 流水线，要求：
1. 仅允许内部系统通过 JWT 调用 API。
2. 记录所有 API 请求日志用于审计。

'''配置步骤：'''  
1. 在 `airflow.cfg` 中启用 JWT：
   <syntaxhighlight lang="ini">
   [api]
   auth_backends = airflow.api.auth.backend.jwt
   jwt_secret_key = your-strong-secret
   </syntaxhighlight>

2. 使用脚本自动化调用：
   <syntaxhighlight lang="python">
   token = jwt.encode(
       {"user": "ci-system", "exp": datetime.utcnow() + timedelta(minutes=30)},
       "your-strong-secret",
       algorithm="HS256"
   )
   requests.post(
       "https://airflow.example.com/api/v1/dags/example_dag/dagRuns",
       json={"conf": {}},
       headers={"Authorization": f"Bearer {token}"}
   )
   </syntaxhighlight>

== 安全最佳实践 ==  
* 定期轮换 JWT 密钥和 SSL 证书。
* 限制 API 访问 IP 范围（通过网络防火墙或 `[api]` 的 `auth_rate_limited`）。
* 禁用未使用的身份验证后端。

== 总结 ==  
Airflow API 安全是生产环境部署的核心环节，需结合身份验证、授权、加密和监控。初学者应从 Basic Auth 或 JWT 入手，而企业用户应部署 OAuth 和 RBAC。

<mermaid>
graph TD
    A[客户端请求] --> B{身份验证}
    B -->|成功| C[授权检查]
    B -->|失败| D[返回 401]
    C -->|有权限| E[执行 API 操作]
    C -->|无权限| F[返回 403]
</mermaid>

[[Category:大数据框架]]
[[Category:Airflow]]
[[Category:Airflow安全与身份验证]]