keycloak与istio结合demo

最新推荐文章于 2024-05-22 17:48:53 发布
最新推荐文章于 2024-05-22 17:48:53 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: openshift
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wenwenxiong/article/details/80339951
版权

参考网址:https://github.com/kameshsampath/istio-keycloak-demo

部署keycloak与istio结合的demo

下载源码

git clone https://github.com/kameshsampath/istio-keycloak-demo

部署 keycloak

oc apply -f istio-keycloak-demo/openshift-files/keycloak.yaml

打开keycloak的webconsole

minishift openshift service keycloak --in-browser

部署cars api

1、编译生成car api的docker image镜像
在cars-api目录下执行命令

./mvnw -Distio.home=[your istio home folder] clean package fabric8:build

2、部署cars-api到openshift平台上

oc apply -f cars-api/src/istio/istio-cars-api-0.0.1-all.yml

配置istio认证

oc apply -f cars-api/src/istio/car-api-auth_config.yaml
oc apply -f $DEMO_HOME/cars-api/src/istio/mixer-rule-only-authorized.yaml

3、测试
没有token访问

curl -vvv $(minishift openshift service cars-api)/cars/list

token访问
生成token

---
kubectl run -i --rm --restart=Never tokenizer --image=tutum/curl \
--command \
-- curl -X POST 'http://keycloak.istio-system:8080/auth/realms/istio/protocol/openid-connect/token' \
-H "Content-Type: application/x-www-form-urlencoded" \
-d 'username={demo-user}&password={demo-user}&grant_type=password&client_id=cars-web' | jq .access_token
---

上面命令执行后会生成一串字符串,把它存入$token

curl -vvv -H "Authorization: Bearer $token" $(minishift openshift service cars-api)/cars/list

4、查询istio的配置
查询LDS和CDS

istioctl proxy-config <pod-name>

5、遇到问题

UNAUTHENTICATED:carsapi-handler.denier.myproject:You are not authorized to access the service

istio/car-api-auth_config.yaml文件中加入forward_jwt: true内容。

--- 
apiVersion: config.istio.io/v1alpha2
kind: EndUserAuthenticationPolicySpec
metadata: 
  name: cars-api-auth-policy
  namespace: myproject
spec: 
  jwts: 
    - issuer: http://keycloak.myproject:8080/auth/realms/istio
      jwks_uri: http://keycloak.myproject:8080/auth/realms/istio/protocol/openid-connect/certs
      audiences: 
      - cars-web
      forward_jwt: true
--- 
apiVersion: config.istio.io/v1alpha2
kind: EndUserAuthenticationPolicySpecBinding
metadata:
  name: cars-api-auth-policy-binding
  namespace: myproject
spec:
  policies:
    - name: cars-api-auth-policy
      namespace: myproject
  services:
    - name: cars-api
      namespace: myproject
wenwenxiong
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
istio-by-example-java:在Java应用程序中使用Istio的示例集合
01-30
这是Istio Codelab的源代码材料。 有关设置说明,请参见 。
istio-demo
03-18
在"istio-demo"这个场景中,我们很可能是为了探索和学习Istio如何在实际环境中运作。Istio的核心组件包括数据平面(Envoy代理)和控制平面(Pilot、 Citadel、Galley、Mixer)。让我们深入了解一下Istio的关键特性和...
OAuth2 服务器Keycloak中的Realm
码农小胖哥
08-29 1663
前几篇我和大家一起对Keycloak进行了粗略的了解。随着逐步的了解,我发现进入了一个误区,原本以为Spring Security整合Keycloak的重心在于Spring Securit...
keycloak设置自制https证书
最新发布
YSTXDONG的专栏
05-22 403
keycloak 初始化admin后,出现HTTPS required 问题,后端也提示出现 ssl_required问题。查阅官网后,官网说 start-dev 模式默认不启用https,但是我的却有https校验,一头雾水。于是决定生成自制证书,让keycloak可以被https访问到。
keycloak实战
maofatty的博客
05-22 2189
jboss团队成员的最新sso项目 这是文档: http://keycloak.jboss.org/docs 这是用户手册 http://docs.jboss.org/keycloak/docs/1.0-alpha-3/userguide/html_single/index.html 这是下载地址 http://sourceforge.net/projects/keycloak/f...
keycloak+istio实现基于jwt的服务认证授权
yevvzi的博客
09-10 2985
envoy rbac介绍 基于角色的访问控制(RBAC)为服务提供服务级别和方法级别的访问控制。RBAC政策是附加的。依次检查策略。根据操作以及是否找到匹配的策略,允许或拒绝请求。 策略配置主要包括两个部分。 permissions 由AuthorizationPolicy中to转换过来 定义角色的权限集。 每个权限都与OR语义匹配。 为了匹配此策略的所有操作,应使用any字段设置为true的单个Permission。 principals 由AuthorizationPolicy中to和when
Keycloak Oauth2.0流程 --- Angular前端 + Django后端 + Keycloak 实现SSO功能
wdquan19851029的专栏
01-07 5610
前言: 一个企业往往拥有多个应用系统,如果每个应用都有独立的用户认证和授权管理功能,这不仅需要运维人员维护多套用户管理系统,用户使用每个系统时都要登录一次,非常不方便。如果能够将所有应用系统的用户集中管理,用户就使用一套用户名登录所有系统,这将会大大改善用户体验。本文前端Angular, 后端Django,基于Keycloak搭建单点登录系统。 前端代码部署到nginx, 前后端代码分开部署 前端Angular集成Keycloak: 前端要怎样集成Keycloak呢? 本文提供两种方式 ...
通过管理API管理OAuth2 认证授权服务器Keycloak
码农小胖哥
08-21 1819
在使用Keycloak的时候可能有同学都注意到用户的管理都是通过Keycloak提供的UI来进行的,虽然很方便但是很多时候并不适合在开发中使用。比如注册总不能让终端用户直接去Keycloa...
keycloak-proxy-demo
05-17
Keycloak代理允许客户端到/user端点的请求 如果客户端没有管理员角色,则Keycloak代理会拒绝从客户端到/admin端点的请求 如果客户端具有管理员角色,Keycloak代理允许从客户端到/admin端点的请求什么是Keycloak代理...
keycloak-containers-demo
05-04
启动容器创建用户定义的网络为了轻松将Keycloak连接到LDAP和邮件服务器,请创建一个用户定义的网络: docker network create demo-network启动密钥斗篷我们将使用扩展的Keycloak图像,其中包括一个自定义主题和一些...
istio-demo:使用istio演示金丝雀部署
02-20
Istio示范一个实现进入Istio服务网格的基本示例,并演示了基于canary的策略,该策略利用了已在Istio服务网格中部署的多版本微服务上的标签。内容参考[1] [2] 先决条件我已经在启用Kubernetes本地集群的情况下使用...
keycloak集群部署配置
11-05
Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案。单点部署相对简单,本文档包含集群部署配置,包含nginx。
keycloak-10.0.1.zip
05-12
keycloak10.0.1客户端下载,解压缩之后,windows双击bin目录下的standalone.bat即可运行,linux运行bin目录下的standalone.sh可以运行
keycloak-2fa-sms-authenticator:Keycloak身份验证提供程序实现,用于通过通过SMS(通过AWS SNS)发送的OTPcodetoken获得第二因素身份验证。 仅用于演示!
05-18
Keycloak 2FA SMS身份验证器 Keycloak身份验证提供程序实现,以通过通过SMS(通过AWS SNS)发送的OTP /代码/令牌获得第二因素身份验证。 仅用于演示! 不幸的是,我还没有真正的自述文件。 责怪我! 但是,就目前而言,您至少可以在这里阅读我的博客文章有关该增效剂的信息: 或者,只需观看有关此2FA SMS SPI的视频:
keycloak-user-storage:Keycloak的自定义用户存储
05-24
Keycloak用户存储SPI演示 这是有关如何将密钥斗篷连接到开箱即用的不受支持的用户存储类型/格式的演示。 (出于演示目的,使用外部MySQL数据库) 该分支中演示的解决方案使用手动构建的JPA连接。 该体系结构决策背后的原因是使用Java Persistence API时通常建立连接的方式。 通常,在与应用程序捆绑在一起的应用程序服务器上部署了一个persistence.xml文件。 这有一个主要缺点-连接是硬编码的,并且不同数据库的提供程序需要多次部署。 为了利用Keycloak中提供程序的实时运行时配置,我们需要一种在运行时构造JPA连接的方法。 设置 要求 安装了Java的当前版本(最好是JDK11或13) 安装了当前版本的Docker(用于MySQL服务器) Java IDE(例如 , , , ) 测试对REST Api的请求 密钥斗篷实例 入门 部署用户存
keycloak-springboot-demo:Spring Boot和Keycloak SSO集成演示
01-30
4. **Keycloak与Spring Boot集成**:集成过程通常包括配置Keycloak服务器地址,设置客户端ID和秘密,以及在Spring Boot应用中添加Keycloak安全配置。这可以通过使用Keycloak提供的Spring Security适配器来实现。 5....
微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
热门推荐
macrozheng的专栏
07-09 4万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cl...
Istio Security - Istio安全框架
罗小爬的技术宝书
12-05 1554
本文主要介绍了Istio安全相关(PeerAuthenticaion, RequestAutenticaion, AuthorizaionPolicy)的内容及配置说明。
KeyCloak、OAuth2、Spring Boot、client_credentials整合
klaokai的冥想空间
08-08 3840
doc https://www.keycloak.org/docs/latest/getting_started/index.html 创建一个域和一个用户 Keycloak广利控制台的第一个用途是创建领域并在该领域中创建用户。 您使用该用户登录到新领域,并访问所有用户都可以访问的内置账户控制台。 域和用户 当你登录管理员控制台,你将在一个域内工作,这是一个你可以管理对象的空间。 有两种域: Master realm:主域。这个域会在你第一次启动Keycloak就会为你创建好, 它包含了你第一次登录时创建的
spring-webflux结合thymeleaf demo
04-24
此外,您还可以查找一些相关的Demo项目,以获得更深入的理解和实践经验。例如,以下链接提供Spring WebFlux和Thymeleaf结合的示例项目: - https://github.com/bruno-leite/spring-webflux-thymeleaf-example 希望...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值