基于 JWT 声明的路由

本任务向您展示如何实现基于 Istio 入口网关上的 JWT 声明路由请求， 来使用请求身份认证和虚拟服务。

注意：该特性只支持 Istio 入口网关，并且需要使用请求身份验证和虚拟服务来根据 JWT 声明进行正确的验证和路由。

开始之前

• 理解 Istio 身份认证策略和虚拟服务相关概念。

• 使用 Istio 安装指南⁷安装 Istio。

• 在 foo 命名空间中，部署一个 httpbin 工作负载， 并通过 Istio 入口网关使用以下命令暴露它：

  ZipZip

  $ kubectl create ns foo
  $ kubectl apply -f <(istioctl kube-inject -f samples/httpbin/httpbin.yaml8) -n foo
  $ kubectl apply -f samples/httpbin/httpbin-gateway.yaml9 -n foo
  

• 按照 确定入口的 IP 和端口 使用说明来定义 INGRESS_HOST 和 INGRESS_PORT 环境变量。

• 使用下面的命令验证 httpbin 工作负载和入口网关是否按照预期正常工作：

  $ curl "$INGRESS_HOST:$INGRESS_PORT"/headers -s -o /dev/null -w "%{http_code}\n"
  200

基于 JWT 声明配置入站路由

Istio 入口网关支持基于经过身份验证的 JWT 的路由， 这对于基于最终用户身份的路由非常有用，并且比使用未经身份验证的 HTTP 属性（例如：路径或消息头）更安全。

1. 为了基于 JWT 声明进行路由，首先创建请求身份验证以启用 JWT 验证：

   $ kubectl apply -f - <<EOF
   apiVersion: security.istio.io/v1
   kind: RequestAuthentication
   metadata:
     name: ingress-jwt
     namespace: istio-system
   spec:
     selector:
       matchLabels:
         istio: ingressgateway
     jwtRules:
     - issuer: "testing@secure.istio.io"
       jwksUri: "https://raw.githubusercontent.com/istio/istio/master/security/tools/jwt/samples/jwks.json"
   EOF
   

   这个请求身份验证将在 Istio 网关上启用 JWT 校验，以便验证过的 JWT 声明稍后可以在虚拟服务中用于路由功能。

   这个请求身份验证只应用于入口网关，因为基于路由的 JWT 声明仅在入口网关上得到支持。

   注意：请求身份验证将只检查请求中是否存在 JWT。要使 JWT 成为必要条件， 如果请求中不包含 JWT 的时候就拒绝请求， 请应用任务¹⁰中指定的授权策略。

2. 根据经过验证的 JWT 声明将虚拟服务更新到路由：

   $ kubectl apply -f - <<EOF
   apiVersion: networking.istio.io/v1
   kind: VirtualService
   metadata:
     name: httpbin
     namespace: foo
   spec:
     hosts:
     - "*"
     gateways:
     - httpbin-gateway
     http:
     - match:
       - uri:
           prefix: /headers
         headers:
           "@request.auth.claims.groups":
             exact: group1
       route:
       - destination:
           port:
             number: 8000
           host: httpbin
   EOF
   

   虚拟服务使用保留的消息头 "@request.auth.claims.groups" 来匹配 JWT 声明中的 groups。 前缀的 @ 表示它与来自 JWT 验证的元数据匹配，而不是与 HTTP 消息头匹配。 JWT 支持字符串类型的声明、字符串列表和嵌套声明。使用 . 作为嵌套声明名称的分隔符。 例如，"@request.auth.claims.name.givenName" 匹配嵌套声明 name 和 givenName。 当前不支持使用 . 字符作为声明名称。

基于 JWT 声明验证入口路由

1. 验证入口网关返回没有 JWT 的 HTTP 404 代码：

   $ curl -s -I "http://$INGRESS_HOST:$INGRESS_PORT/headers"
   HTTP/1.1 404 Not Found
   ...

   您还可以创建授权策略，以便在缺少 JWT 时使用 HTTP 403 代码显式拒绝请求。

2. 验证入口网关返回带有无效 JWT 的 HTTP 401 代码：

   $ curl -s -I "http://$INGRESS_HOST:$INGRESS_PORT/headers" -H "Authorization: Bearer some.invalid.token"
   HTTP/1.1 401 Unauthorized
   ...

   401 是由请求身份验证返回的，因为 JWT 声明验证失败。

3. 使用包含 groups: group1 声明的有效 JWT 令牌验证入口网关路由请求：

   $ TOKEN_GROUP=$(curl https://raw.githubusercontent.com/istio/istio/master/security/tools/jwt/samples/groups-scope.jwt -s) && echo "$TOKEN_GROUP" | cut -d '.' -f2 - | base64 --decode
   {"exp":3537391104,"groups":["group1","group2"],"iat":1537391104,"iss":"testing@secure.istio.io","scope":["scope1","scope2"],"sub":"testing@secure.istio.io"}

   $ curl -s -I "http://$INGRESS_HOST:$INGRESS_PORT/headers" -H "Authorization: Bearer $TOKEN_GROUP"
   HTTP/1.1 200 OK
   ...

4. 验证入口网关，返回了带有有效 JWT 的 HTTP 404 代码，但不包含 groups: group1 声明：

   $ TOKEN_NO_GROUP=$(curl https://raw.githubusercontent.com/istio/istio/master/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN_NO_GROUP" | cut -d '.' -f2 - | base64 --decode
   {"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"testing@secure.istio.io","sub":"testing@secure.istio.io"}

   $ curl -s -I "http://$INGRESS_HOST:$INGRESS_PORT/headers" -H "Authorization: Bearer $TOKEN_NO_GROUP"
   HTTP/1.1 404 Not Found
   ...

清除

• 移除名称为 foo 的命名空间：

  $ kubectl delete namespace foo
  

• 移除身份认证：

  $ kubectl delete requestauthentication ingress-jwt -n istio-system