Oathkeeper在反向代理模式下的重要功能及调用流程

最新推荐文章于 2024-03-22 09:47:52 发布
最新推荐文章于 2024-03-22 09:47:52 发布
阅读量623 收藏 2
点赞数
分类专栏: go语言系列 文章标签: go语言 信息安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zrunningz/article/details/109215934
版权

0  初始化

          首先,设置Oathkeeper在cmd\server\server.go中,设置反向代理的两个重要执行函数:

    handler := &httputil.ReverseProxy{
			Director:  proxy.Director,//通过proxy.Director完成对HTTP请求的认证等操作
			Transport: proxy,//通过的proxy.RoundTrip完成与后端服务的通信
		}

         具体调用流程如下:

         step1:当收到HTTP请求时,调用httputil.ReverseProxy.ServeHTTP对HTTP请求进行处理;

         step2:调用proxy.Director,依据HTTP数据包的信息对HTTP请求进行认证、授权。

         step3:调用proxy.RoundTrip,如果认证、授权阶段没有错误,则将HTTP请求发送给后端;否则,向客户端发送错误信息。

1  认证、鉴权及更改

         这部分的实现代码如下所示,先后对该HTTP请求进行认证、授权:

/*
    根据匹配到的规则,对HTTP请求进行认证、授权以及更改
*/
func (d *RequestHandler) HandleRequest(r *http.Request, rl *rule.Rule) (session *authn.AuthenticationSession, err error) {
	var found bool

	fields := map[string]interface{}{
		"http_method":     r.Method,
		"http_url":        r.URL.String(),
		"http_host":       r.Host,
		"http_user_agent": r.UserAgent(),
		"rule_id":         rl.ID,
	}


	session = d.InitializeAuthnSession(r, rl)
    //看一下这个规则是否有对应的认证器,不能没有
	if len(rl.Authenticators) == 0 {
		err = errors.New("No authentication handler was set in the rule")
		d.r.Logger().WithError(err).
			WithFields(fields).
			WithField("granted", false).
			WithField("reason_id", "authentication_handler_missing").
			Warn("No authentication handler was set in the rule")
		return nil, err
	}

	//Authenticator-->认证者
	for _, a := range rl.Authenticators {
        //看一下Oathkeeper是否支持该认证器
		anh, err := d.r.PipelineAuthenticator(a.Handler)
		if err != nil {
			d.r.Logger().WithError(err).
				WithFields(fields).
				WithField("granted", false).
				WithField("authentication_handler", a.Handler).
				WithField("reason_id", "unknown_authentication_handler").
				Warn("Unknown authentication handler requested")
			return nil, err
		}
        //看一下这个认证器的配置是否符合要求
		if err := anh.Validate(a.Config); err != nil {
			d.r.Logger().WithError(err).
				WithFields(fields).
				WithField("granted", false).
				WithField("authentication_handler", a.Handler).
				WithField("reason_id", "invalid_authentication_handler").
				Warn("Unable to validate use of authentication handler")
			return nil, err
		}
      //执行认证过程,除非遇到ErrAuthenticatorNotResponsible错误,否则,都会返回该认证器的结果
		err = anh.Authenticate(r, session, a.Config, rl)
		if err != nil {
			switch errors.Cause(err).Error() {
			case authn.ErrAuthenticatorNotResponsible.Error():
				// 如果有该异常,则尝试下一个认证器
				break
			case helper.ErrUnauthorized.ErrorField:
				d.r.Logger().Info(err)
				return nil, err
			default:
				d.r.Logger().WithError(err).
					WithFields(fields).
					WithField("granted", false).
					WithField("authentication_handler", a.Handler).
					WithField("reason_id", "authentication_handler_error").
					Warn("The authentication handler encountered an error")
				return nil, err
			}
		} else {
			// The first authenticator that matches must return the session
			found = true
			fields["subject"] = session.Subject
			break
		}
	}
    /*
      没有找到可用的认证器时,返回错误
    */
	if !found {
		err := errors.WithStack(helper.ErrUnauthorized)
		d.r.Logger().WithError(err).
			WithFields(fields).
			WithField("granted", false).
			WithField("reason_id", "authentication_handler_no_match").
			Warn("No authentication handler was responsible for handling the authentication request")
		return nil, err
	}
	//找到该服务器是否支持该认证器
	azh, err := d.r.PipelineAuthorizer(rl.Authorizer.Handler)
	if err != nil {
		d.r.Logger().WithError(err).
			WithFields(fields).
			WithField("granted", false).
			WithField("authorization_handler", rl.Authorizer.Handler).
			WithField("reason_id", "unknown_authorization_handler").
			Warn("Unknown authentication handler requested")
		return nil, err
	}
    //查看配置是否符合该验证器的要求
	if err := azh.Validate(rl.Authorizer.Config); err != nil {
		d.r.Logger().WithError(err).
			WithFields(fields).
			WithField("granted", false).
			WithField("authorization_handler", rl.Authorizer.Handler).
			WithField("reason_id", "invalid_authorization_handler").
			Warn("Unable to validate use of authorization handler")
		return nil, err
	}
    //执行认证过程
	if err := azh.Authorize(r, session, rl.Authorizer.Config, rl); err != nil {
		d.r.Logger().
			WithError(err).
			WithFields(fields).
			WithField("granted", false).
			WithField("authorization_handler", rl.Authorizer.Handler).
			WithField("reason_id", "authorization_handler_error").
			Warn("The authorization handler encountered an error")
		return nil, err
	}

	if len(rl.Mutators) == 0 {
		err = errors.New("No mutation handler was set in the rule")
		d.r.Logger().WithError(err).
			WithFields(fields).
			WithField("granted", false).
			WithField("reason_id", "mutation_handler_missing").
			Warn("No mutation handler was set in the rule")
		return nil, err
	}

	//header变形器
	for _, m := range rl.Mutators {
		sh, err := d.r.PipelineMutator(m.Handler)
		if err != nil {
			d.r.Logger().WithError(err).
				WithFields(fields).
				WithField("granted", false).
				WithField("access_url", r.URL.String()).
				WithField("mutation_handler", m.Handler).
				WithField("reason_id", "unknown_mutation_handler").
				Warn("Unknown mutator requested")
			return nil, err
		}

		if err := sh.Validate(m.Config); err != nil {
			d.r.Logger().WithError(err).
				WithFields(fields).
				WithField("granted", false).
				WithField("mutation_handler", m.Handler).
				WithField("reason_id", "invalid_mutation_handler").
				Warn("Invalid mutator requested")
			return nil, err
		}

		if err := sh.Mutate(r, session, m.Config, rl); err != nil {
			d.r.Logger().WithError(err).
				WithFields(fields).
				WithField("granted", false).
				WithField("mutation_handler", m.Handler).
				WithField("reason_id", "mutation_handler_error").
				Warn("The mutation handler encountered an error")
			return nil, err
		}
	}

	return session, nil
}

2  将请求发到后端服务

    反向代理执行RoundTrip函数将请求发往后端,并得到服务端响应:

    

func (d *Proxy) RoundTrip(r *http.Request) (*http.Response, error) {
	rw := NewSimpleResponseWriter()
	fields := map[string]interface{}{
		"http_method":     r.Method,
		"http_url":        r.URL.String(),
		"http_host":       r.Host,
		"http_user_agent": r.UserAgent(),
	}

	if sess, ok := r.Context().Value(ContextKeySession).(*authn.AuthenticationSession); ok {
		fields["subject"] = sess.Subject
	}

	rl, _ := r.Context().Value(ContextKeyMatchedRule).(*rule.Rule)
    
	if err, ok := r.Context().Value(director).(error); ok && err != nil {
        //如果认证时存在错误,则将错误信息返回给客户端
		d.r.Logger().WithError(err).
			WithFields(fields).
			WithField("granted", false).
			Warn("Access request denied")

		d.r.ProxyRequestHandler().HandleError(rw, r, rl, err)

		return &http.Response{
			StatusCode: rw.code,
			Body:       ioutil.NopCloser(rw.buffer),
			Header:     rw.header,
		}, nil
	} else if err == nil {
        //认证成功,把请求发给后端
		res, err := http.DefaultTransport.RoundTrip(r)
		if err != nil {
			d.r.Logger().
				WithError(errors.WithStack(err)).
				WithField("granted", false).
				WithFields(fields).
				Warn("Access request denied because roundtrip failed")
			// don't need to return because covered in next line
		} else {
			d.r.Logger().
				WithField("granted", true).
				WithFields(fields).
				Warn("Access request granted")
		}

		return res, err
	}

	err := errors.New("Unable to type assert context")
	d.r.Logger().
		WithError(err).
		WithField("granted", false).
		WithFields(fields).
		Warn("Unable to type assert context")

	d.r.ProxyRequestHandler().HandleError(rw, r, rl, err)

	return &http.Response{
		StatusCode: rw.code,
		Body:       ioutil.NopCloser(rw.buffer),
		Header:     rw.header,
	}, nil
}

3  反思

     对于后续的开发过程中,对于Oathkeeper应该主要两个开发方向:

        (1) 当收到HTTP请求后,增加除了认证用户、授权用户的其他操作,比如:从数据库中读取设备信息、验证设备信息、收集设备信息等内容,对于这类需求,直接在proxy.Director增加相应步骤即可。

        (2) 增加认证、授权等其他组件,对于这类需求,可以按着如下步骤完成:

              step1:在driver\registry_memory.go文件中对对应组件进行注册;

              step2:完成相应认证、授权器,并加在authn,authz模块下

              step3:进行配置,使用相应组件

zrunningz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go反向代理
weixin_46078854的博客
12-29 545
package main import ( "errors" "fmt" "log" "net/http" "net/http/httputil" "net/url" ) // NewProxy takes target host and creates a reverse proxy func NewProxy(targetHost string) (*httputil.ReverseProxy, error) { url, err := url.Parse(targetHost) .
ory-tinker:为ory kratos自助服务流程创建基本ui
02-11
语境这是补锅匠。 你懂一点Python吗? 您想使用Kratos,Hydra或Oathkeeper等Ory组件弄... Oathkeeper目前不仅仅只是在没有任何身份验证/授权的情况下代理所有请求。先决条件启动并运行您必须决定是否要使用誓约人。 如
oathkeeper的安装与使用
zrunningz的博客
10-20 1694
一、Oathkeeper简介 ORY Oathkeeper是一个认证与访问代理,用于作为反向代理或者访问权限决策点。 当作为反向代理时,客户端、oathkeeper以及内网服务之间的通信流程如图1所示。 图1 作为反向代理时的通信流程 当作为权限决策点时,客户端、API网关、Oathkeeper以及内网服务之间的通信...
golang 实现HTTP代理和反向代理
热门推荐
mengxinghuiku的博客
03-23 5万+
代理的核心功能可以用一句话概括:接受客户端的请求,转发到后端服务器,获得应答之后返回给客户端。下图是 《HTTP 权威指南》一书中给出的图例,可以很清晰地说明这一流程: 代理的功能有很多,事实上整个互联网到处都充斥着代理服务器。如果所有的 HTTP 访问都是客户端和服务器端直接进行的话,我们的网络不仅会变得缓慢,而且性能会大打折扣。 代理服务器根据不同的配置和使用,可能会有不同
反向代理Proxy的基本应用
顺的博客
05-01 1457
目录Nginx反向代理一、7层代理1、定义集群2、调用集群3、调度算法二、4层代理1、增加模块:--with-stream2、定义集群3、调用集群4、指定端口号连接三、总结1、7层代理2、4层代理HAproxy集群1、装包2、配置3、起服务LVS集群一、集群概念集群的目的(好处)分类二、LVS集群相关1、组成2、相关术语3、工作模式4、负载均衡调度算法5、原理相关6、原理示例三、LVS 准备装包i...
go实现反向代理的四种负载轮询方法(随机、顺序、加权、哈希一致性)
klay的博客
07-11 1056
基础知识点 在之前的博文我们实现了反向代理,但是缺乏对应的轮询方法(可以查看我之前的博文) 在反向代理过程中我们需要知道以下的Header头 X-Forwarded-For X-Real-IP $remote_addr X-Forwarded-For: 记录最后连接实际服务器之前的整个代理过程,可能会被伪造 比如以下例子,注意X-Forwarded-For的变化 如果我们在客户端处设置Header的X-Forwarded-For为99.99.99.99,那么就可以实现伪造 X-Real-IP 请求的
Python库 | ory-oathkeeper-client-0.38.10b2.tar.gz
05-20
资源分类:Python库 所属语言:Python 资源全名:ory-oathkeeper-client-0.38.10b2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | ory_client-0.0.1a79-py3-none-any.whl
03-22
ORY是一家专注于身份和访问管理(IAM)解决方案的公司,其产品包括Ory Kratos(身份服务器)、Ory Oathkeeper(权限代理)等。因此,ory_client可能提供了一种方便的方式来集成这些服务,允许开发者在Python应用中...
x:特定于ORY的Go-libraries
03-08
在开源软件开发中,master分支通常代表了项目的最新稳定版本,开发人员会在这个分支上进行主要的开发和功能添加。 通过这些Go库,开发者可以轻松地集成以下关键功能: 1. **身份验证**:ORY的库可能提供了一套完整...
pdf编辑器(pdf编辑+浏览)可用补丁
06-10
在安装任何软件补丁之前,阅读readme文件是非常重要的,因为它会指导用户正确操作,避免可能遇到的问题。"遇到使用问题可留言"则表明开发者或提供者可能提供技术支持,用户可以在遇到困难时寻求帮助。 标签"pdf"和...
go gin框架做请求转发(代理 Proxy
DisMisPres的博客
07-23 1万+
背景 我现在有两个服务,简称 A 和 B。A 是对外开放的服务,存储了访问 B 所必须的参数,顾要通过 A 来做请求转发至 B。 实现思路 其实就是根据指定规则,拦截请求,替换一下请求的地址,期间可以自行对请求和返回结果做拦截,做一些修改值之类的操作。 server 服务做中间件,进行拦截。(我这边是根据请求头中的内容来进行拦截的,判断 header 中的 direct 的值是否为 lab) 替换请求的 Scheme(如:http) 和 Host (如:www.baidu.com) 保证原请求的请求参数不
探索Oathkeeper:一个现代化的身份和访问管理解决方案
最新发布
gitblog_00064的博客
03-22 327
探索Oathkeeper:一个现代化的身份和访问管理解决方案 oathkeeperA cloud native Identity & Access Proxy / API (IAP) and Access Control Decision API that authenticates, authorizes, and mutates incoming HTTP(s) requests. Insp...
常用的英语俚语
考研到清华
06-11 3184
引言 我有空的时候都会在 YouTube 上听老外讲英语, 先前都是听过以后就完了。但是慢慢发现,由于自己并没有处于一个完全英文的环境之内,有些东西听过以后很快就忘记了。因此,这篇 blog 的目的就是把我听到的认为好的东西记录下来,万一以后碰到一个外国 MM 聊天的时候(我 TMD 是在做梦吗?),就可以在这篇 blog 中找一些常用的表达,从而让对方感觉到我的英语水平很地道啊! 哈哈哈……
go ReverseProxy 实现http代理负载均衡
leo_jk的博客
04-07 639
一、构建两个应用服 9091 和 9092端口 package main import ( "encoding/base64" "log" "net/http" "os" "os/signal" "strings" ) type web1handler struct {} func(web1handler) ServeHTTP (writer http.ResponseWriter,request *http.Request) { //请求头是否有给到 Authorization 信
网络代理【4】ReverseProxy源码分析及使用
jstang的博客
07-25 4618
真机侧 package main type RealServer struct { Addr string } func NewRealServer(addr string) *RealServer { return &RealServer{Addr: addr} } func (r *RealServer) HelloHandler(w http.ResponseWriter, req *http.Request) { //127.0.0.1:8008/abc?sdsdsa=11 .
Oathkeeper的HTTP(S)服务端启动过程
zrunningz的博客
11-04 326
0 前言 Oathkeeper主要基于HTTP server接收的HTTP/HTTPS请求,并进行认证,授权等操作。因此,对于其服务端的启动、Handler注册、Handler执行过程需要更加的了解才能够进行后续的开发。 1 HTTP(s)handle的注册 Oathkeeper通过以下代码完成HTTP处理函数的注册。 handler := &httputil.ReverseProxy{ Director: proxy.Director,...
数据库Access denied失败解决方法
qq_43676724的博客
06-14 2万+
今天在安装一个mysql时,碰到了一系列问题,现将这些问题罗列出来: (1)ERROR 1045 (28000): Access denied for user ‘root’@‘localhost’ (using password: NO) (2)ERROR 1045 (28000): Access denied for user ‘root’@‘localhost’ (using password:yes) (3)ERROR 2003 (HY000): Can’t connect to MySQL ser
ory Oathkeeper Ecosystem
weixin_34044273的博客
09-01 361
ory Oathkeeper 生态包含的组件 ORY Hydra is an OAuth 2.0 and OpenID Connect provider. ORY Oathkeeper is an Identity and Access Proxy. ORY Keto is an access control server. TBA is an identity management ...
nginx反向代理流程以及具体执行过程
weixin_52259848的博客
09-29 3332
本文主要记录学习nginx的三个方面,nginx反向代理流程、执行过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值