基于 JWT 声明的路由

    注意:该特性只支持 Istio 入口网关,并且需要使用请求身份验证和虚拟 服务来根据 JWT 声明进行正确的验证和路由。

    以下信息描述了一个实验性功能,仅用于评估。

    • 理解 Istio 身份认证策略和相关概念。

    • 使用 Istio 安装指南安装 Istio 。

    • 在 命名空间中,部署一个 httpbin 工作负载 , 并通过 Istio 入口网关使用以下命令暴露它:

      Zip

    • 按照 使用说明来定义 INGRESS_HOSTINGRESS_PORT 环境变量。

      1. $ curl "$INGRESS_HOST:$INGRESS_PORT"/headers -s -o /dev/null -w "%{http_code}\n"
      2. 200

    如果您没有看到预期的输出,请在几秒钟后重试。因为缓存和传输的开销会导致延迟。

    Istio 入口网关支持基于经过身份验证的 JWT 的路由,这对于基于最终用户身份的路由非常有用,并且比使用未经身份验证的 HTTP 属性(例如:路径或消息头)更安全。

    1. 为了基于 JWT 声明进行路由,首先创建请求身份验证以启用 JWT 验证:

      1. $ kubectl apply -f - <<EOF
      2. apiVersion: security.istio.io/v1beta1
      3. kind: RequestAuthentication
      4. metadata:
      5.   name: ingress-jwt
      6.   namespace: istio-system
      7. spec:
      8.   selector:
      9.     matchLabels:
      10.       istio: ingressgateway
      11.   - issuer: "testing@secure.istio.io"
      12.     jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.13/security/tools/jwt/samples/jwks.json"
      13. EOF

      这个请求身份验证将在 Istio 网关上启用 JWT 校验,以便验证过的 JWT 声明稍后可以在虚拟服务中用于路由功能。

      这个请求身份验证只应用于入口网关,因为基于路由的 JWT 声明仅在入口网关上得到支持。

      注意:请求身份验证将只检查请求中是否存在 JWT。要使 JWT 成为必要条件,如果请求中不包含 JWT 的时候就拒绝请求,请应用任务中指定的授权策略。

    2. 根据经过验证的 JWT 声明将虚拟服务更新到路由:

      1. $ kubectl apply -f - <<EOF
      3. kind: VirtualService
      4. metadata:
      5.   name: httpbin
      6.   namespace: foo
      7. spec:
      8.   hosts:
      9.   - "*"
      10.   gateways:
      11.   - httpbin-gateway
      12.   http:
      13.   - match:
      14.     - uri:
      15.         prefix: /headers
      16.       headers:
      17.         "@request.auth.claims.groups":
      18.           exact: group1
      19.     - destination:
      20.         port:
      21.           number: 8000
      22.         host: httpbin

    1. 验证入口网关返回没有 JWT 的 HTTP 404 代码:

      您还可以创建授权策略,以便在缺少 JWT 时使用 HTTP 403 代码显式拒绝请求。

    2. 验证入口网关返回带有无效 JWT 的 HTTP 401 代码:

      1. $ curl -s -I "http://$INGRESS_HOST:$INGRESS_PORT/headers" -H "Authorization: Bearer some.invalid.token"
      2. HTTP/1.1 401 Unauthorized
      3. ...

      401 是由请求身份验证返回的,因为 JWT 声明验证失败。

    3. 使用包含 groups: group1 声明的有效 JWT 令牌验证入口网关路由请求:

      1. $ TOKEN_GROUP=$(curl https://raw.githubusercontent.com/istio/istio/release-1.13/security/tools/jwt/samples/groups-scope.jwt -s) && echo "$TOKEN_GROUP" | cut -d '.' -f2 - | base64 --decode -
      2. {"exp":3537391104,"groups":["group1","group2"],"iat":1537391104,"iss":"testing@secure.istio.io","scope":["scope1","scope2"],"sub":"testing@secure.istio.io"}
      1. $ curl -s -I "http://$INGRESS_HOST:$INGRESS_PORT/headers" -H "Authorization: Bearer $TOKEN_GROUP"
      2. HTTP/1.1 200 OK
      3. ...

    4. 验证入口网关,返回了带有有效 JWT 的 HTTP 404 代码,但不包含 groups: group1 声明:

      1. $ curl -s -I "http://$INGRESS_HOST:$INGRESS_PORT/headers" -H "Authorization: Bearer $TOKEN_NO_GROUP"
      2. HTTP/1.1 404 Not Found
      3. ...

    • 移除名称为 foo 的命名空间: