Istio 实战:JWT 认证

已于 2024-03-11 14:13:31 修改
阅读量984 收藏 17
点赞数 15
文章标签: istio 云原生
于 2024-01-05 10:57:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44140067/article/details/135400993
版权
本文介绍了如何在Istio中实现JWT认证。首先,通过环境准备和配置HTTPBin应用来验证基础功能。接着,详细展示了如何启用JWT验证,创建RequestAuthentication资源并更新VirtualService,以确保只有携带有效JWT的请求才能通过。最后,验证了不同JWT状态的请求响应,并解释了配置细节,包括issuer、jwksUri和JWT claims的匹配规则。
摘要由CSDN通过智能技术生成

文章中使用到的相关资源下载处:istio 实战:JWT认证

前言

请求认证策略指定验证 JSON Web Token(JWT)所需的值。这些值包括:

  • token 在请求中的位置
  • 请求的 issuer
  • 公共 JSON Web Key Set(JWKS)

Istio 会根据请求认证策略中的规则检查提供的令牌(如果已提供), 并拒绝令牌无效的请求。当请求不带有令牌时,默认将接受这些请求。 要拒绝没有令牌的请求,请提供授权规则,该规则指定对特定操作(例如,路径或操作)的限制,即 istio 授权 AuthorizationPolicy CRD

环境准备

  1. 创建命名空间 mm-foo,开启 istio sidecar 自动注入

    kubectl create ns mm-foo
kubectl edit ns mm-foo # 在 label 处添加 "istio-injection: enabled"

    在这里插入图片描述

  2. 创建 httpbin 应用,创建对应的虚拟服务和网关资源

    kubectl apply -f httpbin.yaml
kubectl apply -f httpbin-gw-vs.yaml

  3. 根据 vs 和 gw 配置的域名,修改主机 hosts 文件在这里插入图片描述

  4. 验证 httpbin 功能是否正常工作
    在这里插入图片描述

启用 JWT 验证

  1. 创建请求身份验证以启用 JWT 验证

    kubectl apply -f requestAuth.yaml

  • 这个请求身份验证将在 Istio 网关上启用 JWT 校验

  • 这个请求身份验证只应用于入口网关

    请求身份验证将只检查请求中是否存在 JWT
    要使 JWT 成为必要条件, 如果请求中不包含 JWT 的时候就拒绝请求, 请应用任务中指定的授权策略

    最低0.47元/天 解锁文章
    快,把我桶也提着
    关注
    Istio实战:打造云原生微服务高速公路
    AI天才研究院
    08-21 707
    1. 背景介绍 1.1 微服务架构的兴起与挑战 微服务架构作为一种灵活、可扩展的软件架构风格,近年来得到了广泛的应用。它将应用程序拆分成一系列小型、独立的服务,每个服务负责特定的业务功能,并通过轻量级机制进行通信。这种架构风格带来了诸多优势,如独立部署、技术异构性、故障隔离等,但也引入了新的挑
    云原生】Kubernetes微服务Istio:介绍、原理、应用及实战案例
    最新发布
    景天科技苑
    07-18 2万+
    随着云原生技术的日益成熟,微服务架构已成为大型企业构建复杂应用的首选方案。然而,微服务架构的复杂性也带来了诸如服务治理、流量管理、安全认证等挑战。Istio作为一个开源的服务网格(Service Mesh)平台,为Kubernetes中的微服务提供了一套全面的治理解决方案。本文将详细介绍Istio的基本概念、工作原理、应用场景,并通过一个实战案例展示其在实际项目中的应用。
    IstioJWT认证授权
    Micky_Yang的博客
    08-15 1399
    一、理解JWT   JWT(Json Web Token)是一种多方传递可信JSON数据的方案,一个JWT token由.分隔的三部分组成:{Header}.{Payload}.{Signature},其中Header是Base64编码的JSON数据,包含令牌类型typ、签名算法alg以及密钥ID kid等信息;Payload是需要传递的claims数据,也是Base64编码的JSON数据,其中有些字段是JWT标准已经有了的字段,如:exp、iat、iss、sub和aud等等,也可以根据需求添加自定义字段;
    istio学习(二) 使用JWT进行权限验证
    文若书生的专栏
    01-26 2225
    文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
    istio中基于JWT(json web token)实战
    嫌疑人X的解忧杂货店
    08-12 1742
    本文主要介绍如何在istio中,通过使用jwt为应用进行授权,实现权限访问。 本文实战代码环境:k8s(1.19)+istio(1.8.0)+python(3.7)/js(node v10.24.0) 实战内容:用户调用接口生成jwk(代码实战),调用接口生成token(代码实战),并通过token访问应用。 1、什么是JWK,JWKS,JWTjwt:json web token,访问网站或请求时,用来证明自己身份的一种凭证。 jwk:json web key,注意这个key,可以理解为
    微服务治理框架(Istio)的认证服务与访问控制
    武天旭的博客
    04-14 888
    在微服务架构下,每个服务是无状态的,由于服务端需要存储客户端的登录状态,因此传统的session认证方式在微服务中不再适用。理想的实现方式应为无状态登录,流程通常如下:1、客户端请求某服务,服务端对用户进行登录认证。2、认证通过,服务端将用户登录信息进行加密并形成令牌,最后再返回至客户端作为登录凭证。3、在步骤2之后,客户端每次请求都须携带认证的令牌。4、服务端对令牌进行解密,判断是否有效,若有效则认证通过,否则返回失败信息。
    通过自定义Istio Mixer Adapter在JWT场景下实现用户封禁
    weixin_33890526的博客
    02-18 628
    作者:高松原文地址:yisaer.github.io/2019/02/16/…介绍互联网服务离不开用户认证。JSON Web Token(后简称JWT)是一个轻巧,分布式的用户授权鉴权规范。和过去的session数据持久化的方案相比,JWT有着分布式鉴权的特点,避免了session用户认证时单点失败引起所有服务都无法正常使用的窘境,从而在微服务架构设计下越来越受欢迎。然而JWT单点授权,分布鉴权的...
    istio 实战JWT 认证
    01-05
    实战主要关注的是 Istio 的安全性方面,特别是 JSON Web Token (JWT) 认证的实现。JWT 是一种轻量级的身份验证和授权机制,广泛用于分布式系统中。 JWT 认证Istio 中的角色是确保只有经过身份验证的用户和服务...
    云原生之服务网格Istio实战教程
    kkchenjj的博客
    07-11 847
    Istio中,自定义适配器和扩展允许用户根据特定需求定制服务网格的行为。Istio的控制平面设计为可插拔的,这意味着你可以添加自己的适配器来处理特定的业务逻辑或与外部系统集成。适配器可以接收来自Envoy代理的事件,并根据这些事件执行操作,如记录、监控、策略执行等。自定义适配器通过实现Istio的适配器接口,可以与Istio的控制平面集成。适配器可以是任何语言编写的,只要它能够通过gRPC或HTTP与Istio的控制平面通信。
    Istio学习笔记:IngressGateway实现基于OAuth2.0+JWT的API鉴权
    10-28 5014
    本文主要记录在Istio 1.6.8中,利用Istio Security的RequestAuthentication、AuthorizationPolicy、以及EnvoyFilter等 实现基于OAuth2.0 + JWT的API鉴权功能。客户端(浏览器)通过网关访问后端服务api(/apis/xxx/api),istio ingress gateway进行后端服务的统一鉴权处理。仅供个人参考。
    istio 1.5使用kubectl创建资源,istio-token not found
    小草的博客
    04-11 1056
    目录问题解决办法 问题 由于内网环境隔离的问题,需要改动部分部署参数。所以使用istioctl生成了manifest文件,但是部署异常,describe pod之后,发现有一些资源例如istio-token not found,去github搜了一下issue,看到好几个issue都有提及相关的问题 https://github.com/istio/istio/issues/21968 https...
    Service Mesh Istio 从入门到放弃 (五) istio 网络安全
    u013171997的专栏
    09-11 724
    文章目录配置基于HTTP的授权配置TLS安全网关JWT鉴权 配置基于HTTP的授权 一般应用层面的业务服务都会基于http做各种请求get、post、put等方法的授权功能,这里做简单的演示 1.由于前面已经部署好bookinfo服务,如果做过对reviews服务的路由配置,这里可以把它删除掉,这样堆reviews服务的访问就会轮询它下面的三个实例,分别展示红星、黑星和无星 kubectl delete vs reviews 2.接下来在default的namespace下创建一个拒绝所有请求的策略,可以
    iOS开发 — JWT加密
    m_miao
    07-15 1058
    JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。 载荷(playload) 载荷就是存放有效信息的地方。 签证(signature) jwt的第三部分是一个签证信息,这个签证信息由三部分组成:1,需要base64加密后的header;2,base64加密后的
    Istio 1.0 # 基础认证策略 # 设置终端用户认证
    来啊 快活啊
    08-03 2417
    Istio 0.8版本增强了服务间双向认证,1.0版本增加了终端用户认证的功能,这样整个服务网格的认证策略就齐全了;目前只支持JWT Authentication,可以使用authentication policy进行配置; 公司的OAuth2 Server使用的是Cloudary Foundary的UAA,Cloudary Foundary的UAA Server完全按照规范来设计的,所以跟Is...
    keycloak+istio实现基于jwt的服务认证授权
    yevvzi的博客
    09-10 3029
    envoy rbac介绍 基于角色的访问控制(RBAC)为服务提供服务级别和方法级别的访问控制。RBAC政策是附加的。依次检查策略。根据操作以及是否找到匹配的策略,允许或拒绝请求。 策略配置主要包括两个部分。 permissions 由AuthorizationPolicy中to转换过来 定义角色的权限集。 每个权限都与OR语义匹配。 为了匹配此策略的所有操作,应使用any字段设置为true的单个Permission。 principals 由AuthorizationPolicy中to和when
    Istio安全架构--理解身份/认证/授权
    网络安全研究
    04-08 2561
    Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
    Istio 安全
    Doub1's Blog
    11-26 414
    Istio 安全引言认证策略DestinationRule 中的 TLSSettings 引言 本篇文章简单讲讲Istio的安全策略,之前的文章可以在同专栏下找到。 认证策略 认证策略是对上游服务器生效的(接收请求的服务)。 策略的作用域我们可以明确规定. 网格范围内 apiVersion: authentication.istio.io/v1alpha1 kind: MeshPolicy metadata: name: default spec: peers: - mtls:
    Istio中的安全策略
    JosephThatwho的博客
    03-15 760
    微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio的安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
    istio简介和基础组件原理(服务网格Service Mesh)
    热门推荐
    全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
    11-27 7万+
    Istio简介 Istio:一个连接,管理和保护微服务的开放平台。 按照isito文档中给出的定义: Istio提供一种简单的方式来建立已部署的服务的网络,具备负载均衡,服务到服务认证,监控等等功能,而不需要改动任何服务代码。简单的说,有了Istio,你的服务就不再需要任何微服务开发框架(典型如Spring Cloud,Dubbo),也不再需要自己手动实现各种复杂的服务...
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包

    打赏作者

    快,把我桶也提着

    如果对您有帮助欢迎支持哦~

    ¥1 ¥2 ¥4 ¥6 ¥10 ¥20
    扫码支付:¥1
    获取中
    扫码支付

    您的余额不足,请更换扫码支付或充值

    打赏作者

    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值