全网最简单的k8s User JWT token管理器

最新推荐文章于 2025-04-01 11:15:20 发布
最新推荐文章于 2025-04-01 11:15:20 发布
阅读量1.1k 收藏
点赞数
分类专栏: golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_35614077/article/details/87869511
版权
本文介绍了如何简化在k8s中管理User JWT token的流程,重点讨论基于openid的jwt,并提出Sealyun Fist,一个轻量级的解决方案。Fist提供了一个简单的HTTP API用于生成和验证token,避免了复杂的身份认证系统集成。通过部署Fist,用户可以方便地获取并使用token,从而便捷地进行k8s资源访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kubernetes集群三步安装

概述

kubernetes server account的token很容易获取,但是User的token非常麻烦,本文给出一个极简的User token生成方式,让用户可以一个http请求就能获取到。

token主要用来干啥

官方dashboard登录时需要。 如果通过使用kubeconfig文件登录而文件中又没有token的话会失败,现在大部分文章都介绍使用service account的token来登录dashboard,能通,不过有问题:
第一:绑定角色时要指定类型是service account:

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
  labels:
    k8s-app: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount   # 这里不是User类型
  name: kubernetes-dashboard
  namespace: kube-system

第二:要理解kubeconfig里是解析证书把CN作为用户名的,这时service account即便与CN一样那还是两个账户,绑定角色时还需要绑定两次,有点像把service account给"人"用, 所以把service account的token扔给某个开发人员去用往往不合适,service account token更多时候是给程序用的。

想直接调用https的,没有token就会:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl https://172.31.12.61:6443/api/v1/namespaces/default/pods --insecure
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "pods is forbidden: User \"system:anonymous\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403
}

因为没有任何认证信息,所以匿名(anonymous)用户没有任何权限

加了token是这样的:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IkNnYzRPVEV5TlRVM0VnWm5hWFJvZFdJIn0.eyJpc3MiOiJodHRwczovL2RleC5leGFtcGxlLmNvbTo4MDgwIiwic3ViIjoiQ2djNE9URXlOVFUzRWdabmFYUm9kV0kiLCJhdWQiOiJleGFtcGxlLWFwcCIsImV4cCI6MTU1MTA5NzkwNiwiaWF0IjoxNTUwNzM3OTA2LCJlbWFpbCI6ImZodGpvYkBob3RtYWlsLmNvbSIsImVtYWlsX3ZlcmlmaWVkIjp0cnVlLCJncm91cHMiOlsiZGV2Il0sIm5hbWUiOiJmYW51eCJ9.ZqKn461UW0aGtyjyqu2Dc5tiUzC-6eYLag542d3AvklUdZuw8i9XwyaUg_f1OAj0ZsEcOybOe9_PeGMaUYzU0OvlKPY-q2zbQVC-m6u6sQw6ZXx8pi0W8k4wQSJnMaOLddCfurlYufmr8kScDBQlnKapSR0F9mJzvpKkHD-XNshQKWhX3n03g7OfFgb4RuhLjKDNQnoGn7DfBNntibHlF9sPo0jC5JjqTZaGvoGmiRE4PAXwxA-RJifsWDNf_jW8lrDiY4NSO_3O081cia4N1GKht51q9W3eaNMvF
最低0.47元/天 解锁文章
k8s】创建基于sa的token的kubeconfig
binqian的专栏
12-03 830
创建一个基于sa的token的kubeconfig文件,并用这个文件来访问集群。
pulsar2.9.2开启jwt认证(基于k8s
m0_59685732的博客
06-13 899
配置上之后,broker对于proxy转发过来的数据,需要鉴定client的token,也需要鉴定proxy的token。1、进入目前运行的broker容器,执行如下命令,创建private.key和public.key,放在conf文件夹下。6、修改configMap pulsar-proxy的配置(在使用到proxy的集群中,认证必须在proxy也配置)8、同理,修改pulsar-proxy的statefulset的配置,保证存到容器中的public.key相同。配置成超级管理员的token
k8s查看用户的token并验证
热门推荐
lanwp5302的博客
03-22 1万+
查看指定空间下所有用户 kubectl get sa -n kube-system [root@docker228 kubernetes]# kubectl get sa -n kube-system NAME SECRETS AGE calico-cni-plugin 1 9h calico-policy-cont...
JWT详解
最新发布
weixin_44945843的博客
04-01 2799
JWT(全称:JSON WEB Token) 是一个开放标注(RFC 7519),它定义了一种紧凑的,自包含的方式,用于作为json对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签字的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对 进行签名。通俗解释:jwt简称JSON Web Token,也就是通过JSON形式作为web应用中的令牌,用于在各放之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
k8s admin 用户生成token
村长在路上
03-15 941
部署进k8s kubectl apply -f admin-namespce.yaml。
彻底搞懂 Kubernetes 中的认证
cbmljs的博客
10-13 2307
Kubernetes 中的认证
『高效管理Kubernetes子节点』解析K8S集群Token查询与重新生成的方式
老陈聊架构
01-16 3019
K8S子节点加入集群Token查询及重新生成
K8S——安全机制
rmh0713的博客
06-05 913
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。
k8s——安全机制
sea_bunch的博客
06-07 1438
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
K8s Token 过期解决方案(Kubeadm)
RAB
02-08 4999
K8s Token 过期解决方案(Kubeadm)。
kubehook:基于 JWTKubernetes webhook 身份验证服务
05-30
库贝钩 Kubehook 是 Kubernetes 的 Webhook 服务。 它提供了一个 API 端点来生成 ,另一个代表 Kubernetes 验证令牌。 生成令牌 Kubehook 提供了一个小的 Web UI 来请求令牌: 请求令牌后,UI会说明如何使用令牌: Kubehook 可以选择配置一组 Kubernetes 集群来自动配置。 当使用--kubecfg-template运行时,用户可以简单地下载一个~/.kube/config文件,该文件预先配置了众所周知的集群。 部署 Kubehook Kubehook 假设它运行在反向代理之后,例如终止 TLS 并验证调用者身份的 nginx。 默认情况下,将为通过可配置的 HTTP 标头 - X-Forwarded-User提供的用户名生成令牌。 CFG= $( mktemp -d /tmp/kubehook.XXXX
k8s 创建 Token (及一个 ServiceAccount 管控多个 Namespace)
叮当猫的喵i
10-18 5382
可以实现 SA 具有操作别的 namespace 中资源的权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作。SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作。没有 ClusterRoleBinding 与 Role 的 组合。绑定 ClusterRole, 具有。
一次kong概念验证之旅
u013679635的博客
05-24 916
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言0. 本地k8s 环境搭建(minikube)1. kong及 kong ingress controller 配置并验证1.1 安装kong:dbless (无数据库模式,较灵活)1.2 部署echo测试服务2. kong plugin 介绍3. Kong plugin 开发4. Oauth2+jwt+Kong 认证鉴权OAuth2 框架定义以下几种flow (授权流程):JWT知识:认证授权服务器(KeyCloak)5. .
Kong(k8s)部署及使用
lonely喆的博客
08-07 4704
文章目录一、Kong介绍二、部署postgres三、部署Kong1.迁移Kong数据库2. 部署Kong四、部署konga1.迁移konga数据库2.部署konga3.汉化Konga(可选)五、Kong的使用 一、Kong介绍   Kong是一个开源的微服务网关,具有登录鉴权、熔断限流等功能,且其是基于Nginx和OpenResty开发的。   同时,Kong也提供了和k8s高度融合的Kong Ingress Controller,可以直接作为k8s的原生网关使用。   Kong从1.1版本之后开始支持db
k8s-kubernetes常用命令,服务部署,可视化控制台Kubernetes Dashboard安装及token的生成
你是我的天晴
06-12 1711
上一篇文章介绍了怎么,现在我们来学习下kubernetes的常用命令我们直接通过部署可视化控制台kubernetes-dashboard来顺便学习下kubernetes的常用命令及服务的部署。
k8s安装部署与卸载
点赞不迷路
10-27 9714
1、docker安装 curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun 启动docker并设置开机自启动 systemctl enable docker && systemctl start docker systemctl daemon-reload systemctl restart docker systemctl status docker 设置加速 sudo vi /etc/docker
k8s 中的 Gateway API 的背景和简介【k8s 系列之四】
weixin_41410452的博客
10-23 144
阅读目录〇、Gateway API 的背景一、Gateway API 简介二、详解2.1 资源类型2.1.1 GatewayClass2.1.2 Gateway2.1.3 ReferenceGrant2.1.4 Route2.1.5 路由绑定2.1.6 路由选择2.1.7 资源类型的组合,以及简单的请求数据流2.2 面向角色特性三、实现方案(略) 回到顶部〇、Gateway API 的背景 第一阶...
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 6988
kubernetes查看用户token
登陆的时候用户名密码都是正确的后端jwt还是显示用户名密码错误怎么解决
03-22
<think>嗯,用户遇到了登录问题,明明用户名和密码正确,但后端用JWT验证还是返回错误。我需要仔细分析可能的原因,然后一步步引导解决。首先,得确认用户输入的准确性,可能有大小写或者空格的问题。然后是后端验证逻辑,比如密码加密方式是否正确,数据库存储的密码是否匹配。接着检查JWT的生成和验证过程,比如密钥是否正确,令牌是否有效。还有网络传输问题,比如参数是否正确传递,HTTPS是否影响。此外,服务器时间和时区设置也可能影响令牌的有效性。最后,日志和调试可以帮助定位具体错误。需要把这些可能点整理成清晰的步骤,帮助用户逐一排查。</think>好的,这个问题需要系统性地排查后端 JWT 鉴权流程。以下是逐步排查方案: 1. **基础验证确认** - 📌 检查请求参数:用开发者工具或 Postman 确认 `username/password` 字段命名是否与接口文档一致(注意大小写敏感) - 📌 测试明文匹配:在数据库直接执行 `SELECT password FROM users WHERE username='xxx'` 对比用户输入值 2. **密码加密验证** ```javascript // 示例:Node.js 密码验证代码段 const isMatch = await bcrypt.compare(plainPassword, hashedPasswordFromDB); if (!isMatch) { throw new Error('密码错误'); } ``` - 检查加密算法是否一致(如 bcrypt 的 salt rounds 配置) - 验证数据库字段长度是否足够存储 hash 值(例如 bcrypt 需要 60 字符) 3. **JWT 生成环节** ```javascript // 正确签名示例 const token = jwt.sign( { userId: user.id }, process.env.JWT_SECRET, { expiresIn: '2h' } ); ``` - ✅ 检查 `.env` 中 `JWT_SECRET` 是否被正确加载 - ❌ 避免在 payload 中存储敏感信息 - 用 [jwt.io](https://jwt.io) 调试生成的 token 结构 4. **请求头验证流程** ```bash # 正确带 Authorization 头的请求示例 curl -H "Authorization: Bearer eyJhbGci..." http://api.example.com/protected ``` - 检查客户端是否在 Header 中正确携带 `Bearer` 前缀 - 验证 CORS 配置是否阻止了 Authorization 头的传递 5. **时间漂移问题** - 执行服务器时间同步命令: ```bash # Linux 时间同步 sudo ntpdate pool.ntp.org # 检查时区 timedatectl ``` 6. **日志深度排查** - 在认证流程中添加 debug 日志: ```javascript console.log('Step1-收到请求:', req.body); console.log('Step2-数据库查询结果:', user); console.log('Step3-密码比对结果:', isMatch); console.log('Step4-生成Token:', token); ``` **典型故障案例**: 某次部署后出现同类问题,最终发现是因为: 1. 运维修改了 K8s 的 Secrets 但未重启 Pod 2. 导致 JWT_SECRET 环境变量未更新 3. 生成和验证使用不同密钥 4. 通过 `kubectl rollout restart deployment/auth-service` 解决 建议按照上述步骤添加断点式日志,可以快速定位到具体失效环节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值