全网最简单的k8s User JWT token管理器

最新推荐文章于 2024-03-15 20:21:32 发布
最新推荐文章于 2024-03-15 20:21:32 发布
阅读量1k 收藏
点赞数
分类专栏: golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_35614077/article/details/87869511
版权
本文介绍了如何简化在k8s中管理User JWT token的流程,重点讨论基于openid的jwt,并提出Sealyun Fist,一个轻量级的解决方案。Fist提供了一个简单的HTTP API用于生成和验证token,避免了复杂的身份认证系统集成。通过部署Fist,用户可以方便地获取并使用token,从而便捷地进行k8s资源访问。
摘要由CSDN通过智能技术生成

kubernetes集群三步安装

概述

kubernetes server account的token很容易获取,但是User的token非常麻烦,本文给出一个极简的User token生成方式,让用户可以一个http请求就能获取到。

token主要用来干啥

官方dashboard登录时需要。 如果通过使用kubeconfig文件登录而文件中又没有token的话会失败,现在大部分文章都介绍使用service account的token来登录dashboard,能通,不过有问题:
第一:绑定角色时要指定类型是service account:

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
  labels:
    k8s-app: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount   # 这里不是User类型
  name: kubernetes-dashboard
  namespace: kube-system

第二:要理解kubeconfig里是解析证书把CN作为用户名的,这时service account即便与CN一样那还是两个账户,绑定角色时还需要绑定两次,有点像把service account给"人"用, 所以把service account的token扔给某个开发人员去用往往不合适,service account token更多时候是给程序用的。

想直接调用https的,没有token就会:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl https://172.31.12.61:6443/api/v1/namespaces/default/pods --insecure
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "pods is forbidden: User \"system:anonymous\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403
}

因为没有任何认证信息,所以匿名(anonymous)用户没有任何权限

加了token是这样的:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IkNnYzRPVEV5TlRVM0VnWm5hWFJvZFdJIn0.eyJpc3MiOiJodHRwczovL2RleC5leGFtcGxlLmNvbTo4MDgwIiwic3ViIjoiQ2djNE9URXlOVFUzRWdabmFYUm9kV0kiLCJhdWQiOiJleGFtcGxlLWFwcCIsImV4cCI6MTU1MTA5NzkwNiwiaWF0IjoxNTUwNzM3OTA2LCJlbWFpbCI6ImZodGpvYkBob3RtYWlsLmNvbSIsImVtYWlsX3ZlcmlmaWVkIjp0cnVlLCJncm91cHMiOlsiZGV2Il0sIm5hbWUiOiJmYW51eCJ9.ZqKn461UW0aGtyjyqu2Dc5tiUzC-6eYLag542d3AvklUdZuw8i9XwyaUg_f1OAj0ZsEcOybOe9_PeGMaUYzU0OvlKPY-q2zbQVC-m6u6sQw6ZXx8pi0W8k4wQSJnMaOLddCfurlYufmr8kScDBQlnKapSR0F9mJzvpKkHD-XNshQKWhX3n03g7OfFgb4RuhLjKDNQnoGn7DfBNntibHlF9sPo0jC5JjqTZaGvoGmiRE4PAXwxA-RJifsWDNf_jW8lrDiY4NSO_3O081cia4N1GKht51q9W3eaNMvF
最低0.47元/天 解锁文章
git_fanux
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-身份认证与权限
Mclaughling的博客
10-28 4582
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
k8s查看用户的token并验证
lanwp5302的博客
03-22 1万+
查看指定空间下所有用户 kubectl get sa -n kube-system [root@docker228 kubernetes]# kubectl get sa -n kube-system NAME SECRETS AGE calico-cni-plugin 1 9h calico-policy-cont...
k8s admin 用户生成token
最新发布
村长在路上
03-15 649
部署进k8s kubectl apply -f admin-namespce.yaml。
Kubernetes 整合 keycload 实现 OIDC 认证
CodingDemo
06-15 730
Kubernetes 使用 keycload 实现 OIDC 认证
Kubernetes客户端认证—— 基于ServiceAccount的JWTToken认证
2301_77342543的博客
08-04 384
Kubernetes 官方手册中给出了 “用户” 的概念,Kubernetes 集群中存在的用户包括 “普通用户” 与 “ServiceAccount”, 但是 Kubernetes 没有普通用户的管理方式,通常只是将使用集群根证书签署的有效证书的用户都被视为合法用户。那么对于使得 Kubernetes 集群有一个真正的用户系统,就可以根据上面给出的概念将 Kubernetes 用户分为“内部用户”与“外部用户”。如何理解内部与外部用户呢?
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
k8s安全机制(认证授权)
BushRo
03-28 2107
文章目录Kubernetes 安全机制Authentication 认证https证书认证需要认证的节点两种类型安全性说明证书颁发kubeconfigServiceAccountSecret 与 SA 的关系授权 Kubernetes 安全机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernete
自建k8s平台-高可用k8s集群
nsydgs的博客
07-29 776
二进制搭建k8s
kubehook:基于 JWTKubernetes webhook 身份验证服务
05-30
库贝钩 Kubehook 是 Kubernetes 的 Webhook 服务。 它提供了一个 API 端点来生成 ,另一个代表 Kubernetes 验证令牌。 生成令牌 Kubehook 提供了一个小的 Web UI 来请求令牌: 请求令牌后,UI会说明如何使用令牌: Kubehook 可以选择配置一组 Kubernetes 集群来自动配置。 当使用--kubecfg-template运行时,用户可以简单地下载一个~/.kube/config文件,该文件预先配置了众所周知的集群。 部署 Kubehook Kubehook 假设它运行在反向代理之后,例如终止 TLS 并验证调用者身份的 nginx。 默认情况下,将为通过可配置的 HTTP 标头 - X-Forwarded-User提供的用户名生成令牌。 CFG= $( mktemp -d /tmp/kubehook.XXXX
一次kong概念验证之旅
u013679635的博客
05-24 796
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言0. 本地k8s 环境搭建(minikube)1. kong及 kong ingress controller 配置并验证1.1 安装kong:dbless (无数据库模式,较灵活)1.2 部署echo测试服务2. kong plugin 介绍3. Kong plugin 开发4. Oauth2+jwt+Kong 认证鉴权OAuth2 框架定义以下几种flow (授权流程):JWT知识:认证授权服务器(KeyCloak)5. .
Kong(k8s)部署及使用
lonely喆的博客
08-07 4198
文章目录一、Kong介绍二、部署postgres三、部署Kong1.迁移Kong数据库2. 部署Kong四、部署konga1.迁移konga数据库2.部署konga3.汉化Konga(可选)五、Kong的使用 一、Kong介绍   Kong是一个开源的微服务网关,具有登录鉴权、熔断限流等功能,且其是基于Nginx和OpenResty开发的。   同时,Kong也提供了和k8s高度融合的Kong Ingress Controller,可以直接作为k8s的原生网关使用。   Kong从1.1版本之后开始支持db
Day916.基于JWT令牌的安全认证架构 -SpringBoot与K8s云原生微服务实践
阿昌爱Java
03-13 315
Hi,我是阿昌,今天学习记录的是关于的内容。之前的,其实是比较重量级的安全认证架构。用户的登录状态集中存储在authService鉴权服务系统上面,客户端每次请求都需要去authService上集中认证鉴权校验,这种架构适合对安全要求严格的微服务场景,比方电商等情况。但也有缺陷,就是当网址访问请求量较大时,就对authService的处理压力就较大要求,可能会成为性能和扩展性的瓶颈,要严格的HA和监控,投入成本就很高。但如果应用不需要严格的安全集中型校验,那2.5阶段这套就会显的很笨重。
彻底搞懂 Kubernetes 中的认证
cbmljs的博客
10-13 2171
Kubernetes 中的认证
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 6614
kubernetes查看用户token
个人收藏的网页特效应用(电脑新建一个文本文档复制粘贴改后缀名为.html就能用)
热门推荐
老陈的博客
06-10 6万+
1、樱花 2、玫瑰花 3、记账本 4、柠檬茶 5、罗盘时钟 代码部分来源于网站,如有侵权,请联系删除。
keycloak授权流程详解
qq_33430322的博客
05-29 1万+
授权流程(PS256)client配置公钥私钥生成request加密授权跳转返回 codeauthorization_code 获取token (只能使用一次)token解析 client配置 公钥私钥生成 RSAKey privateKey = new RSAKeyGenerator(2048) .algorithm(JWSAlgorithm.PS256) .keyUse(KeyUse.SIGNATURE)
jwttoken拦截器
09-05
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方法。在使用JWT时,可以使用...需要注意的是,JWT Token拦截器只是一种验证和解析JWT Token的方式,具体的逻辑和处理方式需要根据实际业务需求进行定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值