istio学习(二) 使用JWT进行权限验证

2024-06-20 08:08
文章标签 进行 学习 使用 验证 jwt 权限 istio

本文主要是介绍istio学习(二) 使用JWT进行权限验证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • 前言
  • 1、生成JWK
  • 2、测试密钥可用性
  • 3、创建RequestAuthentication
  • 4、访问测试
  • 5、创建AuthorizationPolicy
  • 6、JAVA生成密钥

前言

参考:https://www.cnblogs.com/kirito-c/p/12464531.html

提示:以下是本篇文章正文内容,下面案例可供参考

1、生成JWK

在linux使用OPENSSL生成公钥和私钥

# 1. 生成 2048 位(不是 256 位)的 RSA 密钥
openssl genrsa -out rsa-private-key.pem 2048# 2. 通过密钥生成公钥
openssl rsa -in rsa-private-key.pem -pubout -out rsa-public-key.pem

使用在线工具将RSA公钥转为JWK
地址为:https://8gwifi.org/jwkconvertfunctions.jsp
最后生成的私钥rsa-private-key.pem如下:

-----BEGIN RSA PRIVATE KEY-----
**********省略***********
-----END RSA PRIVATE KEY-----

最后生成的公钥rsa-public-key.pem如下:

-----BEGIN PUBLIC KEY-----
***********省略*************
-----END PUBLIC KEY-----

最后生成的JWK如下:

{"kty": "RSA","e": "AQAB","kid": "49647d9c-9721-4b69-8071-8ff0fc2560c9","n": "*************"
}

2、测试密钥可用性

在jwt.io填上公钥和私钥,以及iss
在这里插入图片描述

3、创建RequestAuthentication

创建request-authentication.yaml

apiVersion: "security.istio.io/v1beta1"
kind: "RequestAuthentication"
metadata:name: "jwt-example"namespace: istio-system
spec:selector:matchLabels:istio: ingressgatewayjwtRules:- issuer: "1234567890"jwks: '{"keys": [{"kty": "RSA","e": "AQAB","kid": "49647d9c-9721-4b69-8071-8ff0fc2560c9","n": "********"}]}'forwardOriginalToken: true

kubectl apply -f request-authentication.yaml

4、访问测试

直接访问istio中某个应用istio-call,不带Authorization请求头,可参见“6、部署istio示例”,可以成功。
在这里插入图片描述
如果带着Authorization请求头,值不对,返回401错误。
在这里插入图片描述
如果带着Authorization请求头,值使用第2步生成的,可以访问成功
在这里插入图片描述

5、创建AuthorizationPolicy

使用上面创建的RequestAuthentication,如果请求头中不携带Authorization,就可以跳过认证,需要创建AuthorizationPolicy

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:name: require-jwtnamespace: istio-system
spec:selector:matchLabels:istio: ingressgatewayaction: ALLOWrules:- from:- source:requestPrincipals: ["1234567890/*"]

kubectl apply -f authorizationPolicy.yaml

从postman发送请求,如果不添加Authorization请求头,会报403错误:
在这里插入图片描述
如果添加正确的请求头:
在这里插入图片描述

6、JAVA生成密钥

将私钥文件转换

openssl pkcs8 -topk8 -inform PEM -outform DER -in rsa-private-key.pem -out pkcs8_private.key -nocrypt

引入java-jwt依赖,这里使用的gradle,如果使用maven,替换为maven的方式

api group: 'com.auth0', name: 'java-jwt', version: "3.3.0"

生成token:

private static Algorithm createRsaAlgorithm(Boolean privateKeyFlag) throws IOException, NoSuchAlgorithmException, InvalidKeySpecException {RSAPrivateKey privateKey = null;RSAPublicKey publicKey = null;if (privateKeyFlag == null || privateKeyFlag) {@Cleanup InputStream is = ConfigUtils.getInOutConfigStream("/rsakey/pkcs8_private.key");ByteArrayOutputStream baos = new ByteArrayOutputStream();is.transferTo(baos);byte[] keyBytes = baos.toByteArray();PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(keyBytes);KeyFactory kf = KeyFactory.getInstance("RSA");privateKey = (RSAPrivateKey) kf.generatePrivate(spec);} else if (privateKeyFlag == null || !privateKeyFlag) {InputStream is2 = ConfigUtils.getInOutConfigStream("/rsakey/rsa-public-key.pem");@Cleanup PemReader pemReader = new PemReader(new InputStreamReader(is2));PemObject pemObject = pemReader.readPemObject();X509EncodedKeySpec pubKeySpec = new X509EncodedKeySpec(pemObject.getContent());KeyFactory kf2 = KeyFactory.getInstance("RSA");publicKey = (RSAPublicKey) kf2.generatePublic(pubKeySpec);}return Algorithm.RSA256(publicKey, privateKey);
}生成token的代码如下:
JWT.create().withHeader(map).withIssuer(ISS).withClaim("username", username).withClaim("date", iatDate).withClaim("sub", ISS).withClaim("iss", ISS).withExpiresAt(expiresDate).withIssuedAt(iatDate).sign(createRsaAlgorithm(true));

这篇关于istio学习(二) 使用JWT进行权限验证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1077568

相关文章

Python使用Tenacity一行代码实现自动重试详解

Python使用Tenacity一行代码实现自动重试详解

《Python使用Tenacity一行代码实现自动重试详解》tenacity是一个专为Python设计的通用重试库,它的核心理念就是用简单、清晰的方式,为任何可能失败的操作添加重试能力,下面我们就来看... 目录一切始于一个简单的 API 调用Tenacity 入门:一行代码实现优雅重试精细控制:让重试按我
阅读更多...
MySQL中EXISTS与IN用法使用与对比分析

MySQL中EXISTS与IN用法使用与对比分析

《MySQL中EXISTS与IN用法使用与对比分析》在MySQL中,EXISTS和IN都用于子查询中根据另一个查询的结果来过滤主查询的记录,本文将基于工作原理、效率和应用场景进行全面对比... 目录一、基本用法详解1. IN 运算符2. EXISTS 运算符二、EXISTS 与 IN 的选择策略三、性能对比
阅读更多...
使用Python构建智能BAT文件生成器的完美解决方案

使用Python构建智能BAT文件生成器的完美解决方案

《使用Python构建智能BAT文件生成器的完美解决方案》这篇文章主要为大家详细介绍了如何使用wxPython构建一个智能的BAT文件生成器,它不仅能够为Python脚本生成启动脚本,还提供了完整的文... 目录引言运行效果图项目背景与需求分析核心需求技术选型核心功能实现1. 数据库设计2. 界面布局设计3
阅读更多...
使用IDEA部署Docker应用指南分享

使用IDEA部署Docker应用指南分享

《使用IDEA部署Docker应用指南分享》本文介绍了使用IDEA部署Docker应用的四步流程:创建Dockerfile、配置IDEADocker连接、设置运行调试环境、构建运行镜像,并强调需准备本... 目录一、创建 dockerfile 配置文件二、配置 IDEA 的 Docker 连接三、配置 Do
阅读更多...
Linux如何查看文件权限的命令

Linux如何查看文件权限的命令

《Linux如何查看文件权限的命令》Linux中使用ls-R命令递归查看指定目录及子目录下所有文件和文件夹的权限信息,以列表形式展示权限位、所有者、组等详细内容... 目录linux China编程查看文件权限命令输出结果示例这里是查看tomcat文件夹总结Linux 查看文件权限命令ls -l 文件或文件夹
阅读更多...
Android Paging 分页加载库使用实践

Android Paging 分页加载库使用实践

《AndroidPaging分页加载库使用实践》AndroidPaging库是Jetpack组件的一部分,它提供了一套完整的解决方案来处理大型数据集的分页加载,本文将深入探讨Paging库... 目录前言一、Paging 库概述二、Paging 3 核心组件1. PagingSource2. Pager3.
阅读更多...
Python进行JSON和Excel文件转换处理指南

Python进行JSON和Excel文件转换处理指南

《Python进行JSON和Excel文件转换处理指南》在数据交换与系统集成中,JSON与Excel是两种极为常见的数据格式,本文将介绍如何使用Python实现将JSON转换为格式化的Excel文件,... 目录将 jsON 导入为格式化 Excel将 Excel 导出为结构化 JSON处理嵌套 JSON:
阅读更多...
python使用try函数详解

python使用try函数详解

《python使用try函数详解》Pythontry语句用于异常处理,支持捕获特定/多种异常、else/final子句确保资源释放,结合with语句自动清理,可自定义异常及嵌套结构,灵活应对错误场景... 目录try 函数的基本语法捕获特定异常捕获多个异常使用 else 子句使用 finally 子句捕获所
阅读更多...
C++11右值引用与Lambda表达式的使用

C++11右值引用与Lambda表达式的使用

《C++11右值引用与Lambda表达式的使用》C++11引入右值引用,实现移动语义提升性能,支持资源转移与完美转发;同时引入Lambda表达式,简化匿名函数定义,通过捕获列表和参数列表灵活处理变量... 目录C++11新特性右值引用和移动语义左值 / 右值常见的左值和右值移动语义移动构造函数移动复制运算符
阅读更多...
Python对接支付宝支付之使用AliPay实现的详细操作指南

Python对接支付宝支付之使用AliPay实现的详细操作指南

《Python对接支付宝支付之使用AliPay实现的详细操作指南》支付宝没有提供PythonSDK,但是强大的github就有提供python-alipay-sdk,封装里很多复杂操作,使用这个我们就... 目录一、引言二、准备工作2.1 支付宝开放平台入驻与应用创建2.2 密钥生成与配置2.3 安装ali
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2