grafana使用JWT

已于 2024-04-02 10:12:16 修改
阅读量1k 收藏 12
点赞数 13
文章标签: grafana python 开发语言 安全威胁分析
于 2024-03-26 11:07:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_zhb/article/details/137039845
版权

grafana使用JWT

项目背景:

由于grafana的dashboard界面需要内嵌到自己的项目iframe中,而iframe又不能携带请求头这些进行登录访问,如果设置匿名登录就会造成无需密码就可以查看,对甲方来说这是一个严重漏洞,我就查阅了官方文档得出可以使用jwt进行url拼接token进行访问,由于官方文档具体流程不是很清晰,只讲述了配置,所以我这里记录一次从头到尾的实现jwt登录的操作。
我的版本:grafana version 10.2.2
这里附上官方文档地址:https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-authentication/jwt/

操作流程

  1. 生成私钥

    openssl genrsa -out private.pem 2048

  2. 根据私钥生成公钥

    openssl rsa -in private.pem -pubout -out public.pem

  3. 编写python代码,环境要有pyjwt,python3(python应该也可以,未尝试过)

    pip install pyjwt
vim jwtTest.py

    import jwt
import datetime
 
# 读取私钥和公钥
with open('/Users/zhb/Documents/private.pem', 'r') as f:
    private_key = f.read()
 
with open('/Users/zhb/Documents/public.pem', 'r') as f:
    public_key = f.read()
 
# 需要传递的信息
payload = {
    'iss': 'zhb',  # 签发者
    'iat': int(datetime.datetime.now().timestamp()),  # 签发时间
    'exp': int(datetime.datetime.now().timestamp()) + 3600,  # 过期时间(一小时,可根据需求修改)
    'sub': 'views'# 即用户名,注意不能写默认用户名admin
}
 
# 使用私钥生成JWT
token = jwt.encode(payload, private_key, algorithm='RS256')
print('Generated Token:', token)
 
# 使用公钥验证JWT
try:
    decoded = jwt.decode(token, public_key, algorithms=['RS256'])
    print('Decoded Token:', decoded)
except jwt.ExpiredSignatureError:
    print('Token is expired')
except jwt.InvalidTokenError as e:
    print('Token is invalid:', str(e))

  4. 运行代码

    cd /usr/local/bin/ #python3执行程序安装完后一般在这个目录下

python3 /Users/xxx/Documents/jwtTest.py  #运行该命令
 
 #返回内容如下
 Generated Token: eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ6aGIiLCJpYXQiOjE3MTEzNjA3MDUsImV4cCI6MTcxMTM5NjcwNSwic3ViIjoiYWRtaW4ifQ.MxpMQXRosMDOgTN5-KbIMbv-NlTv_ZPk-FPJ_WlQc5-Hz1nIXxhfSltLvf4O64BJBJ39vECzqtWRZE9EhqD6i9EOnQH7nA0ewxM8NTm3GUidBNU40DpLVDVQlyWw--GYLtf7Z0qjrDKFZFniQ3zx3aefWh-AAshN1PI9X7lBSugX8kQH0gNRvCuxgXtCacB3eczI_mQG3uBynCsCT8MAV096j-QpOxJZcPi-4gQC-kyv9wVWWo_ulyaHWTUPDcLZ_2iGFxsqTTErYYKI-r7sfnUUOJo7CUqRGpHJMA5hsu8XhJ_n6YmVeGGhD_0KdmamAyRJyVef2jmsALSoquNNlg
Decoded Token: {'iss': 'zhb', 'iat': 1711360705, 'exp': 1711396705, 'sub': 'views'}
##我们只需要token的内容:eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ6aGIiLCJpYXQiOjE3MTEzNjA3MDUsImV4cCI6MTcxMTM5NjcwNSwic3ViIjoiYWRtaW4ifQ.MxpMQXRosMDOgTN5-KbIMbv-NlTv_ZPk-FPJ_WlQc5-Hz1nIXxhfSltLvf4O64BJBJ39vECzqtWRZE9EhqD6i9EOnQH7nA0ewxM8NTm3GUidBNU40DpLVDVQlyWw--GYLtf7Z0qjrDKFZFniQ3zx3aefWh-AAshN1PI9X7lBSugX8kQH0gNRvCuxgXtCacB3eczI_mQG3uBynCsCT8MAV096j-QpOxJZcPi-4gQC-kyv9wVWWo_ulyaHWTUPDcLZ_2iGFxsqTTErYYKI-r7sfnUUOJo7CUqRGpHJMA5hsu8XhJ_n6YmVeGGhD_0KdmamAyRJyVef2jmsALSoquNNlg

  5. 修改grafana的配置文件

    [auth.anonymous]
# 这个是匿名登录的配置,true代表允许,因为项目需求不允许匿名登录,所以这里不去修改了
;enabled = false
[users]
# disable user signup / registration 这里要修改成true,使允许注册账号
allow_sign_up = true
#################################### Auth JWT ##########################
[auth.jwt]
enabled = true
header_name = X-JWT-Assertion
#代表使用请求体中的sub的值来当做用户名
email_claim = sub
;username_claim = sub
;jwk_set_url = https://foo.bar/.well-known/jwks.json
;jwk_set_file = /path/to/jwks.json
;cache_ttl = 60m
;expect_claims = {"aud": ["foo", "bar"]}
#需要把公钥的文件配置进去
key_file = /path/to/key/public.pem
# Use in conjunction with key_file in case the JWT token's header specifies a key ID in "kid" field
;key_id = kid
;role_attribute_path =
;role_attribute_strict = false
#这个为true代表用户名自动匹配,为匹配到就去注册
auto_sign_up = true
#这个指标代表运行url中带token,不然这个token还是得写在请求头中
url_login = true
;allow_assign_grafana_admin = false

  6. 配置好后重新启动即可通过url进行访问

    http://10.8.0.22:3000/d/fe1b2ab1-05f7-472b-86d0-123/linuxe4b8bb-e69cba-e79b91-e68ea7?orgId=1&auth_token=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ6aGIiLCJpYXQiOjE3MTEzNjA3MDUsImV4cCI6MTcxMTM5NjcwNSwic3ViIjoiYWRtaW4ifQ.MxpMQXRosMDOgTN5-KbIMbv-NlTv_ZPk-FPJ_WlQc5-Hz1nIXxhfSltLvf4O64BJBJ39vECzqtWRZE9EhqD6i9EOnQH7nA0ewxM8NTm3GUidBNU40DpLVDVQlyWw--GYLtf7Z0qjrDKFZFniQ3zx3aefWh-AAshN1PI9X7lBSugX8kQH0gNRvCuxgXtCacB3eczI_mQG3uBynCsCT8MAV096j-QpOxJZcPi-4gQC-kyv9wVWWo_ulyaHWTUPDcLZ_2iGFxsqTTErYYKI-r7sfnUUOJo7CUqRGpHJMA5hsu8XhJ_n6YmVeGGhD_0KdmamAyRJyVef2jmsALSoquNNlg
想吃饼干吗
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
Grafana 9.2.2以前版本GF_AUTH_JWT_URL_LOGIN环境变量不生效问题
我的便当盒
02-13 249
GF_AUTH_JWT_URL_LOGIN用于指定是否可以通过http query参数传递jwt,9.2.2前的版本改环境变量不生效。
grafana-authentication-proxy:Grafana 身份验证代理
06-24
grafana 身份验证代理 使用和 Express 在 Google OAuth2、基本身份验证或 CAS 身份验证背后最新的和 。 Elasticsearch、grafana 和用户客户端之间的代理 支持基本认证保护的 Elasticsearch,只有 grafana-authentication-proxy 知道用户/密码 兼容最新的grafana 增强的身份验证方法。 现在支持客户端的 Google OAuth2、BasicAuth(支持多用户)和 CAS 身份验证 支持每用户 grafana 索引。 现在您可以对用户 A 使用索引 grafana-int-userA,对用户 B 使用 grafana-int-userB 受启发并基于 ,其中 99% 是目前由他们编写的,谢谢:) 我们Bigdesk支持Bigdesk或Head等第三方插件,因为它们很难测试和维护 安装 #
不背锅运维:Grafana的自动登入(Go和Python分别实现)
ttropsstack的博客
11-28 1015
想要达到的目标是:当在浏览器向http://192.168.11.254:3090/auto_login这个地址发起GET请求后能够自动登入Grafana
php+rs256,【原】在Golang程序中支持RS256验证的JWT
weixin_42497299的博客
04-02 420
前言:什么是JWT就不做介绍了,本文只介绍如何基于JWT做支持RS256验证的Go程序。几个有用的URL:https://godoc.org/github.com/dgrijalva/jwt-go#example-Parse–Hmachttps://jwt.io/https://github.com/dgrijalva/jwt-go其实官网提供了很多各种语言的SDK,直接拿来用就好(本文选用的是g...
登入认证--grafana,nacos,jellyfin的token获取及其授权认证规则(附代码)
Wizard_s的博客
02-24 2772
nacos grafana jellyfin - jwt
Grafana(三)Grafana 免密登录-隐藏导航栏-主题变换
最新发布
m0_56659620的博客
01-17 2603
Grafana 的常用方式: 将配置好的Grafana图嵌入到系统页面中。
MaskMicroServiceProgram:使用C#
02-19
MaskMicroServiceProgram可能集成Prometheus和Grafana进行性能监控,使用ELK(Elasticsearch、Logstash、Kibana)堆栈或Serilog进行日志收集和分析。 10. 安全性考虑 微服务的安全性不容忽视。...
microservice-scaffold:基于Spring Cloud(Greenwich.SR2)构建的微服务脚手架(适用于在线系统),已集成注册中心(Nacos Config),配置中心(Nacos Discovery),认证授权(Oauth 2 + JWT),日志处理(ELK + Kafka),限流熔断(AliBaba Sentinel),应用指标监控(Prometheus + Grafana),调用链监控(Pinpoint),以及Spring Boot Admin
01-29
已集成注册中心(Nacos Config),配置中心(Nacos Discovery),认证授权(Oauth 2 + JWT),日志处理(ELK + Kafka),限流熔断(AliBaba Sentinel),应用指标监控(Prometheus + Grafana),调用链监控...
小R商城 后台管理系统 的后端项目,基于SpringBoot+Shiro+JWT+
08-03
同时,通过工具如Prometheus和Grafana进行性能监控,确保系统稳定运行。 10. **部署与运维** 应用可能部署在云环境中,如AWS、Azure或阿里云,采用Docker容器化部署,便于版本管理和横向扩展。同时,使用...
UM2使用相关文档
08-16
了解如何集成监控工具(如Prometheus、Grafana)来收集和分析服务性能指标,以及如何设置日志记录和追踪(如ELK Stack),以便于问题排查和系统优化。 9. **配置管理**: 文档可能涉及如何配置UM2系统,包括服务...
微服务平台:基于SpringBoot2.x,SpringCloud和SpringCloudAlibaba并采用前分离的企业级微服务多租户系统架构。并附加组件化的思想实现高内聚低取代,项目代码简洁标注丰富的上手容易,适合学习和企业中使用。真正实现了基于RBAC,jwt和oauth2的无状态统一权限认证的解决方案,面向互联网设计同时适合B端和C端用户,支持CICD多环境部署,并提供应用管理方便第三方系统包括;企业级的认证系统,开发平台,应用监控,慢速SQL监控,统一日志,单点登录,Redis分布式高速缓存,配
01-30
深度定制Spring Security真正实现了基于RBAC , jwt和oauth2的无状态统一权限认证的解决方案 提供应用管理,方便第三方系统接入,支持多租户(应用隔离) 帖子组件化的思想实现高内聚低取代和高度可配置化 重点法规...
docker集群——swarm
wwy0324的博客
08-21 1万+
原理 1.docker集群亮点: 功能亮点 与Docker Engine集成的集群管理:使用Docker Engine CLI创建一大群Docker引擎,您可以在其中部署应用程序服务。您不需要额外的编排软件来创建或管理群。即自带swarm不需要那么多负载均衡高可用源件 分散式设计: Docker Engine在部署时不是处理节点角色之间的差异,而是在运行时处理任何专业化。您可以使用Dock...
base64图片
relucent的专栏
05-14 1万+
------=_NextPart_000_0000_01CA9F59.AFB45FE0 Content-Type: image/jpg Content-Transfer-Encoding: base64 Content-Location: yl.jpg /9j/4AAQSkZJRgABAQEAAAAAAAD/2wBDAAMCAgMCAgMDAwMEAwMEBQgFBQQEBQoHBwY
AVFrame相关api内存管理
宝安小雨
10-17 3366
//构建AVFrame变量的api AVFrame* frame = av_frame_alloc();//分配结构体空间 //给其结构体成员设置值, frame->width = 1920; frame->height = 1080; frame->format = AV_PIX_FMT_YUV420P; //alloc inner memory av_frame_get_buffer(frame, 32);//音频里是0,视频必须是按32位补齐,这里是给结构体内部指向视频数据的指针分配
HTML笔记
xiaoxinscholar的博客
03-18 3938
文件扩展名 Word.docx Excel.xlsx PPT.pptx 打开文件扩展名的方法: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EqHaI7OH-1584513545028)(C:\Users\DELL\Pictures\1.png)] 或者: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5dQzNW1k-158451...
rotors_simulator与sitl_gazebo冲突导致报错“gzserver....”
m0_47737058的博客
04-15 1万+
rotors_simulator与sitl_gazebo冲突导致报错“gzserver…” 创建时间2021-04-14 报错图片详见2021-04-14屏幕截图! 总是出现gzserver: symbol lookup error: /home/zy/ws/devel/lib/librotors_gazebo_multirotor_base_plugin.so: undefined symbol: _ZN14gz_sensor_msgs9ActuatorsC1Ev 所以尝试此链接中的方法,其实这篇文章我看
YouTube-8M: A Large-Scale Video Classification Benchmark
热门推荐
人工智能
06-26 67万+
Abstract Many recent advancements in Computer Vision are attributed to large datasets. Open-source software packages for Machine Learning and inexpensive commodity hardware have reduced the barrier
91sp.vido.ws index.php_index
weixin_42514750的博客
12-30 9万+
Departamentde Filologia Anglesa i Alemanya=o:p>Universitatde =València___________________________________________=__José Santaemilia RuizAssociate Professor of English Language and Linguistics.<...
2023 HW 必修高危漏洞集合
holyxp的博客
07-21 3238
高危风险漏洞一直是企业网络安全防护的薄弱点,也成为 HW 攻防演练期间红队的重要突破口;每年 HW 期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。HW 攻防演练在即,输出HW 必修高危漏洞手册,意在帮助企业在 HW 攻防演练的前期进行自我风险排查,降低因高危漏洞而“城池失守”的风险。
springboot+vue项目的架构设计
05-16
Spring Boot 和 Vue.js 都是非常流行的技术栈,用于构建现代化的 Web 应用程序。下面是一些有关 Spring Boot + Vue.js 项目的架构设计的建议: 1. 前后端分离架构:Spring Boot 作为后端 API 服务,Vue.js 作为前端 UI 层。前后端分离可以使得前后端开发团队可以独立地开发和测试,提高协作效率。 2. RESTful API 设计:Spring Boot 作为后端 API 服务,应该遵循 RESTful API 设计原则。RESTful API 应该清晰、简单、易于维护和扩展,并且应该使用标准 HTTP 方法和状态码。 3. 数据库访问:Spring Boot 可以轻松地集成各种数据库,如 MySQL、PostgreSQL 和 MongoDB 等。使用 JPA 或者 Mybatis 等持久化框架来进行数据访问。 4. 安全认证:Spring Security 可以帮助你实现安全认证和授权,以保护你的应用程序免受攻击。可以使用 JWT 令牌来进行身份认证和授权。 5. 前端 UI 库:Vue.js 有许多优秀的 UI 库,如 Element UI、Ant Design Vue、Vuetify 等,可以帮助你快速地构建美观、易用的前端 UI。 6. 构建工具:使用 Webpack、Gradle 或者 Maven 等构建工具来构建和打包应用程序。可以使用 Vue CLI 来构建 Vue.js 应用程序。 7. 部署环境:可以使用 Docker 容器来部署应用程序,以便在不同的环境中运行。可以使用 Kubernetes 或者 Docker Compose 等容器编排工具来管理容器。也可以使用云服务提供商如 AWS、Azure 或者 Google Cloud 等来进行部署。 8. 日志和监控:使用 Spring Boot Actuator 来监控应用程序的运行状态和性能。可以使用 Logback 或者 Log4j2 等日志框架来记录日志。可以使用 Prometheus 和 Grafana 等工具来监控应用程序的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

想吃饼干吗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值