我的书签
添加书签
移除书签基于 JWT 授权
在开始这个任务之前,请先完成以下操作:
阅读授权和的相关内容。
参照 Istio 安装向导 安装 Istio。
部署两个工作负载(workload): 和
sleep。将它们部署在同一个命名空间中,例如foo。每个工作负载都在前面运行一个 Envoy 代理。 你可以使用以下命令来部署它们:使用下面的命令验证
sleep能够正常访问httpbin服务:$ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl http://httpbin.foo:8000/ip -sS -o /dev/null -w "%{http_code}\n"200
以下命令为
foo命名空间下的httpbin工作负载创建一个名为jwt-example的身份验证策略。这个策略使得httpbin工作负载接收 Issuer 为testing@secure.istio.io的 JWT 令牌:$ kubectl apply -f - <<EOFapiVersion: "security.istio.io/v1beta1"kind: "RequestAuthentication"metadata:name: "jwt-example"namespace: foospec:selector:matchLabels:app: httpbinjwtRules:- issuer: "testing@secure.istio.io"jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.14/security/tools/jwt/samples/jwks.json"EOF
验证使用无效 JWT 的请求被拒绝:
$ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer invalidToken" -w "%{http_code}\n"
验证没有 JWT 令牌的请求被允许,因为以上策略不包含授权策略:
以下命令为
foo命名空间下的httpbin工作负载创建一个名为require-jwt的授权策略。 这个策略要求所有发往httpbin服务的请求都要包含一个将 设置为testing@secure.istio.io/testing@secure.istio.io的有效 JWT。Istio 使用/连接 JWT 令牌的iss和sub以组成requestPrincipal字段。$ kubectl apply -f - <<EOFapiVersion: security.istio.io/v1beta1kind: AuthorizationPolicymetadata:name: require-jwtnamespace: foospec:selector:matchLabels:app: httpbinaction: ALLOWrules:- from:- source:requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]EOF
获取
iss和sub都为testing@secure.istio.io的 JWT。这会让 Istio 生成的requestPrincipal属性值为testing@secure.istio.io/testing@secure.istio.io:$ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.14/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN" | cut -d '.' -f2 - | base64 --decode -{"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"testing@secure.istio.io","sub":"testing@secure.istio.io"}
验证使用有效 JWT 的请求被允许:
$ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer $TOKEN" -w "%{http_code}\n"200
以下命令更新
require-jwt授权策略,使其同时要求 JWT 包含一个名为 值为group1的声明:apiVersion: security.istio.io/v1beta1kind: AuthorizationPolicymetadata:name: require-jwtnamespace: foospec:selector:matchLabels:app: httpbinaction: ALLOWrules:- from:- source:requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]when:- key: request.auth.claims[groups]values: ["group1"]EOF
除非声明本身包含引号,否则请勿在
request.auth.claims字段包含引号。获取
groups声明列表为group1和group2的 JWT:$ TOKEN_GROUP=$(curl https://raw.githubusercontent.com/istio/istio/release-1.14/security/tools/jwt/samples/groups-scope.jwt -s) && echo "$TOKEN_GROUP" | cut -d '.' -f2 - | base64 --decode -{"exp":3537391104,"groups":["group1","group2"],"iat":1537391104,"iss":"testing@secure.istio.io","scope":["scope1","scope2"],"sub":"testing@secure.istio.io"}
验证包含 JWT 且 JWT 中包含名为
groups值为group1声明的请求被允许:$ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer $TOKEN_GROUP" -w "%{http_code}\n"200
验证包含 JWT,但 JWT 不包含
groups声明的请求被拒绝:
删除 命名空间:
