Istio学习笔记:IngressGateway实现基于OAuth2.0+JWT的API鉴权

最新推荐文章于 2024-09-30 10:41:55 发布
最新推荐文章于 2024-09-30 10:41:55 发布
阅读量5k 收藏 11
点赞数 2
分类专栏: 云原生 Istio ServiceMesh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yin0501/article/details/109319901
版权
本文详细记录了如何使用Istio IngressGateway结合OAuth2.0的JWT实现API鉴权。通过配置Jwks、RequestAuthentication和AuthorizationPolicy,以及基于EnvoyFilter的API鉴权,确保了请求的安全性。测试结果展示了不同Token情况下的访问响应。
摘要由CSDN通过智能技术生成

文章目录

前言

本文主要记录由SpringCloud Zuul1.0对接Oauth 2.0服务做API鉴权,转型为由Istio IngressGateway实现。主要利用Istio的RequestAuthentication, AuthorizationPolicy以及EnvoyFilter等功能实现。由于官方示例未能生效,亦尚未深入探究,故以文字记录主要实现步骤,以备参考(所有域名设置为demo.com)。

一、前置条件

本文基于Istio 1.6.8,kubernetes 1.5.6, 有关Istio的安装配置,请参考 文章Istio学习笔记:Istio及Kiali的安装与配置Istio 官方文档。OAuth2.0授权服务器需要实现非对称加密。授权实现主要参考文档Istio Doc v1.6中的Task->Security->Authorizatoin.

二、实现步骤

1. 基于JWT访问授权

a. Jwks配置

主要配置如下(其他略去),注意配置iss和sub。

@GetMapping("/.well-known/jwks.json")
public Map<String, Object> keys() {
   
   return this.jwkSet.toJSONObject();
}

@Bean
public JWKSet jwkSet() {
   
	if (keyType.equals("RSA")) {
   
		KeyStoreKeyFactoryUtil keyStoreKeyFactory =
				new KeyStoreKeyFactoryUtil(privateKey, keyPwd.toCharArray());
		RSAKey.Builder builder = new RSAKey.Builder((RSAPublicKey)keyStoreKeyFactory.getKeyPair(keyPair).getPublic())
				.keyUse(KeyUse.SIGNATURE)
				.algorithm(JWSAlgorithm.RS256)
				.keyID("bael-key-id");
		return new JWKSet(builder.build());
	}else{
   
		return null;
	}
}

@Bean
public TokenEnhancer tokenEnhancer(final DataSource dataSource) {
   
	return (accessToken, authentication) -> {
   

		JdbcClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);

		clientDetailsService.setSelectClientDetailsSql(SecurityConstants.DEFAULT_SELECT_STATEMENT);
		clientDetailsService.setFindClientDetailsSql(SecurityConstants.DEFAULT_FIND_STATEMENT);

		Map<String, Object> retMap = new HashMap<String, Object>();
		String clientId = authentication.getOAuth2Request().getClientId();

		String changeToken = authentication.getOAuth2Request()<
最低0.47元/天 解锁文章
LoveFirCC1008
关注
专栏目录
IstioJWT认证授权
Micky_Yang的博客
08-15 1411
一、理解JWT   JWT(Json Web Token)是一种多方传递可信JSON数据的方案,一个JWT token由.分隔的三部分组成:{Header}.{Payload}.{Signature},其中Header是Base64编码的JSON数据,包含令牌类型typ、签名算法alg以及密钥ID kid等信息;Payload是需要传递的claims数据,也是Base64编码的JSON数据,其中有些字段是JWT标准已经有了的字段,如:exp、iat、iss、sub和aud等等,也可以根据需求添加自定义字段;
Istio 入口网关 (Ingress Gateway)
叶康铭的博客
10-06 6923
入口网关(Ingress Gateway)是 Istio 重要的资源对象之一,是用于管理网格边缘入站的流量,通过入口网关就可以很轻松的将网格内部的服务暴露到外部提供访问。 通过例子来理解 apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: nginx-gw spec: selector: app: istio-ingressgateway servers: - port: n.
Ingress Gateway 它负责处理进入集群的 HTTP 和 TCP 流量
最新发布
wangqiaowq的博客
09-30 784
在 Kubernetes 和 Istio 服务网格的背景下,是一个关键组件,它负责处理进入集群的 HTTP 和 TCP 流量。
Istio组件IngressGateway
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
05-27 978
创建HTTPS证书的secret kubectl create -n istio-system secret generic all-test.com-credential --from-file=key=private.key --from-file=cert=full_chain.pem 创建网关 kubectl apply -f test-gateway.yaml apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata:
istio学习(二) 使用JWT进行权限验证
文若书生的专栏
01-26 2236
文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
20-【istio】-【流量管理】-【Ingress gatewayIstio ingress gateway
qq_42303254的博客
02-18 2961
这里以istio 1.6.0为例 不同版本的istio安装步骤参考官网:Istio / Ingress Gateways istio ingress gateway是进入集群的大门; istio egress gateway是出去集群的大门。 istio ingress gatewayistio 中自己定义的gateway资源的关系: 可以把istio ingress gateway理解为:k8s中的traefik ingress controller或nginx ingre.
istio中基于JWT(json web token)实战
嫌疑人X的解忧杂货店
08-12 1764
本文主要介绍如何在istio中,通过使用jwt为应用进行授权,实现权限访问。 本文实战代码环境:k8s(1.19)+istio(1.8.0)+python(3.7)/js(node v10.24.0) 实战内容:用户调用接口生成jwk(代码实战),调用接口生成token(代码实战),并通过token访问应用。 1、什么是JWK,JWKS,JWTjwt:json web token,访问网站或请求时,用来证明自己身份的一种凭证。 jwk:json web key,注意这个key,可以理解为
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
OAuth2+JWT认证
qq_28326501的博客
06-22 708
一:OAuth2认证 思路: 【1】:服务创建及pom文件
springcloud-gateway-oauth2:这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务的认证和授权
05-11
1.springcloud-gateway-oauth2 这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务的认证和授权 (记得修改 redis连接 和jdbc连接) 2.安装naocs 3.测试 1.访问认证服务: 2. 访问资源服务: 3. 用户的信息
JWTOAuth2.0
Kard的博客
12-31 9447
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
Oauth2.0 + JWT、JSON解析、调用三方URL.zip
12-18
在IT行业中,OAuth2.0JWT(JSON Web Tokens)以及JSON解析是现代Web服务和API安全及数据交换的关键组成部分。下面将详细解释这些技术及其相互间的应用。 **OAuth2.0** OAuth2.0是一种授权框架,允许第三方应用在...
Istio ingressgateway健康检查(阿里SLB检查)
罗小爬的技术宝书
11-16 1803
https证书的设置位置可以有很多种,比如云SLB、Nginx、K8s IngressIstio Ingressgateway,公司原运维人员总喜欢把证书挂载Nginx上,即: SLB->Nginx https -> K8s Ingress 或 SLB -> Nginx https -> Istio Ingressgateway #mermaid-svg-q9DFPz8TEYVXEjfz .label{font-family:'trebuchet ms', verdana, ari
kubernetes- ingress-gateway-istio_gateway的区别
博然的宝藏库
03-25 1034
Kubernetes Ingress:Kubernetes Gateway:Istio Gateway:简而言之:以下是三个对象的比较表:使用场景:
通过自定义Istio Mixer Adapter在JWT场景下实现用户封禁
weixin_33890526的博客
02-18 632
作者:高松原文地址:yisaer.github.io/2019/02/16/…介绍互联网服务离不开用户认证。JSON Web Token(后简称JWT)是一个轻巧,分布式的用户授权鉴权规范。和过去的session数据持久化的方案相比,JWT有着分布式鉴权的特点,避免了session用户认证时单点失败引起所有服务都无法正常使用的窘境,从而在微服务架构设计下越来越受欢迎。然而JWT单点授权,分布鉴权的...
Istio 实现 ext-authz 外部扩展鉴权以及对接基于 k8s 的微服务
JohnYang's CSDN Home
06-01 766
可以实现基于redis的token鉴权以及实现rbac鉴权。转载请注明来源:https://janrs.com/vrsrIstio的外部鉴权本质是基于Envoy实现的,直接看EnvoyIsio官方的Demo。
使用Istio打造微服务(第2部分) - 认证和授权
weixin_33888907的博客
03-25 1417
作者;Rinor Maloku译者:殷龙飞审校:邱世达原文:medium.com/google-clou…这篇文章是使用Istio打造微服务的第二部分,如果没有看第一篇的话,请先看第一部分内容,因为这篇博客是以第一篇博客为基础进行进一步深入的。在第一篇文章中,我们建立了一个Kubernetes集群,并且在上面部署了 Istio 和示例微服务应用程序“Sentiment Analysis”,用...
oauth2.0+jwt 源码探究之旅
竹林幽深
10-16 235
oauth2.0协议是一种对外开放式协议,主要用于第三方登录授权。 例如:在豆瓣官网点击用qq登录 以及微信的授权都是基于oauth2.0协议做的。 oauth2.0的认证流程 (A)用户打开客户端,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权(一般是Code),向认证服务器申请令牌TOKEN。 (D)认证服务器对客户端进行...
Spring Security + OAuth2.0 + JWT 实现单点登录
随笔
07-21 4285
使用 Spring Security + OAuth2.0 + JWT 实现单点登录
Istio 安全认证
hanjiangxue1006的博客
03-26 1103
Istio 安全认证架构 关联的组件 Citadel用于密钥和证书管理 Sidecar和周边代理实现客户端和服务器之间的安全通信 Pilot将授权策略和安全命名信息分发给代理 Mixer管理授权和审计 认证 Istio身份标识 不同平台身份标识 Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 GCP: GCP 服务帐户...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值