基于 JWT 声明的路由
本任务向您展示如何实现基于 Istio 入口网关上的 JWT 声明路由请求, 来使用请求身份认证和虚拟服务。
注意:该特性只支持 Istio 入口网关,并且需要使用请求身份验证和虚拟服务来根据 JWT 声明进行正确的验证和路由。
开始之前
使用 Istio 安装指南7安装 Istio。
在
foo
命名空间中,部署一个httpbin
工作负载, 并通过 Istio 入口网关使用以下命令暴露它:按照 确定入口的 IP 和端口 使用说明来定义
INGRESS_HOST
和INGRESS_PORT
环境变量。使用下面的命令验证
httpbin
工作负载和入口网关是否按照预期正常工作:
基于 JWT 声明配置入站路由
Istio 入口网关支持基于经过身份验证的 JWT 的路由, 这对于基于最终用户身份的路由非常有用,并且比使用未经身份验证的 HTTP 属性(例如:路径或消息头)更安全。
为了基于 JWT 声明进行路由,首先创建请求身份验证以启用 JWT 验证:
这个请求身份验证将在 Istio 网关上启用 JWT 校验,以便验证过的 JWT 声明稍后可以在虚拟服务中用于路由功能。
这个请求身份验证只应用于入口网关,因为基于路由的 JWT 声明仅在入口网关上得到支持。
注意:请求身份验证将只检查请求中是否存在 JWT。要使 JWT 成为必要条件, 如果请求中不包含 JWT 的时候就拒绝请求, 请应用任务10中指定的授权策略。
根据经过验证的 JWT 声明将虚拟服务更新到路由:
虚拟服务使用保留的消息头
"@request.auth.claims.groups"
来匹配 JWT 声明中的groups
。 前缀的@
表示它与来自 JWT 验证的元数据匹配,而不是与 HTTP 消息头匹配。 JWT 支持字符串类型的声明、字符串列表和嵌套声明。使用.
作为嵌套声明名称的分隔符。 例如,"@request.auth.claims.name.givenName"
匹配嵌套声明name
和givenName
。 当前不支持使用.
字符作为声明名称。
基于 JWT 声明验证入口路由
验证入口网关返回没有 JWT 的 HTTP 404 代码:
您还可以创建授权策略,以便在缺少 JWT 时使用 HTTP 403 代码显式拒绝请求。
验证入口网关返回带有无效 JWT 的 HTTP 401 代码:
401 是由请求身份验证返回的,因为 JWT 声明验证失败。
使用包含
groups: group1
声明的有效 JWT 令牌验证入口网关路由请求:验证入口网关,返回了带有有效 JWT 的 HTTP 404 代码,但不包含
groups: group1
声明:
清除
移除名称为
foo
的命名空间:移除身份认证: