istio学习(二) 使用JWT进行权限验证

2024-06-20 08:08
文章标签 进行 学习 使用 验证 jwt 权限 istio

本文主要是介绍istio学习(二) 使用JWT进行权限验证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • 前言
  • 1、生成JWK
  • 2、测试密钥可用性
  • 3、创建RequestAuthentication
  • 4、访问测试
  • 5、创建AuthorizationPolicy
  • 6、JAVA生成密钥

前言

参考:https://www.cnblogs.com/kirito-c/p/12464531.html

提示:以下是本篇文章正文内容,下面案例可供参考

1、生成JWK

在linux使用OPENSSL生成公钥和私钥

# 1. 生成 2048 位(不是 256 位)的 RSA 密钥
openssl genrsa -out rsa-private-key.pem 2048# 2. 通过密钥生成公钥
openssl rsa -in rsa-private-key.pem -pubout -out rsa-public-key.pem

使用在线工具将RSA公钥转为JWK
地址为:https://8gwifi.org/jwkconvertfunctions.jsp
最后生成的私钥rsa-private-key.pem如下:

-----BEGIN RSA PRIVATE KEY-----
**********省略***********
-----END RSA PRIVATE KEY-----

最后生成的公钥rsa-public-key.pem如下:

-----BEGIN PUBLIC KEY-----
***********省略*************
-----END PUBLIC KEY-----

最后生成的JWK如下:

{"kty": "RSA","e": "AQAB","kid": "49647d9c-9721-4b69-8071-8ff0fc2560c9","n": "*************"
}

2、测试密钥可用性

在jwt.io填上公钥和私钥,以及iss
在这里插入图片描述

3、创建RequestAuthentication

创建request-authentication.yaml

apiVersion: "security.istio.io/v1beta1"
kind: "RequestAuthentication"
metadata:name: "jwt-example"namespace: istio-system
spec:selector:matchLabels:istio: ingressgatewayjwtRules:- issuer: "1234567890"jwks: '{"keys": [{"kty": "RSA","e": "AQAB","kid": "49647d9c-9721-4b69-8071-8ff0fc2560c9","n": "********"}]}'forwardOriginalToken: true

kubectl apply -f request-authentication.yaml

4、访问测试

直接访问istio中某个应用istio-call,不带Authorization请求头,可参见“6、部署istio示例”,可以成功。
在这里插入图片描述
如果带着Authorization请求头,值不对,返回401错误。
在这里插入图片描述
如果带着Authorization请求头,值使用第2步生成的,可以访问成功
在这里插入图片描述

5、创建AuthorizationPolicy

使用上面创建的RequestAuthentication,如果请求头中不携带Authorization,就可以跳过认证,需要创建AuthorizationPolicy

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:name: require-jwtnamespace: istio-system
spec:selector:matchLabels:istio: ingressgatewayaction: ALLOWrules:- from:- source:requestPrincipals: ["1234567890/*"]

kubectl apply -f authorizationPolicy.yaml

从postman发送请求,如果不添加Authorization请求头,会报403错误:
在这里插入图片描述
如果添加正确的请求头:
在这里插入图片描述

6、JAVA生成密钥

将私钥文件转换

openssl pkcs8 -topk8 -inform PEM -outform DER -in rsa-private-key.pem -out pkcs8_private.key -nocrypt

引入java-jwt依赖,这里使用的gradle,如果使用maven,替换为maven的方式

api group: 'com.auth0', name: 'java-jwt', version: "3.3.0"

生成token:

private static Algorithm createRsaAlgorithm(Boolean privateKeyFlag) throws IOException, NoSuchAlgorithmException, InvalidKeySpecException {RSAPrivateKey privateKey = null;RSAPublicKey publicKey = null;if (privateKeyFlag == null || privateKeyFlag) {@Cleanup InputStream is = ConfigUtils.getInOutConfigStream("/rsakey/pkcs8_private.key");ByteArrayOutputStream baos = new ByteArrayOutputStream();is.transferTo(baos);byte[] keyBytes = baos.toByteArray();PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(keyBytes);KeyFactory kf = KeyFactory.getInstance("RSA");privateKey = (RSAPrivateKey) kf.generatePrivate(spec);} else if (privateKeyFlag == null || !privateKeyFlag) {InputStream is2 = ConfigUtils.getInOutConfigStream("/rsakey/rsa-public-key.pem");@Cleanup PemReader pemReader = new PemReader(new InputStreamReader(is2));PemObject pemObject = pemReader.readPemObject();X509EncodedKeySpec pubKeySpec = new X509EncodedKeySpec(pemObject.getContent());KeyFactory kf2 = KeyFactory.getInstance("RSA");publicKey = (RSAPublicKey) kf2.generatePublic(pubKeySpec);}return Algorithm.RSA256(publicKey, privateKey);
}生成token的代码如下:
JWT.create().withHeader(map).withIssuer(ISS).withClaim("username", username).withClaim("date", iatDate).withClaim("sub", ISS).withClaim("iss", ISS).withExpiresAt(expiresDate).withIssuedAt(iatDate).sign(createRsaAlgorithm(true));

这篇关于istio学习(二) 使用JWT进行权限验证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1077568

相关文章

C++使用栈实现括号匹配的代码详解

C++使用栈实现括号匹配的代码详解

《C++使用栈实现括号匹配的代码详解》在编程中,括号匹配是一个常见问题,尤其是在处理数学表达式、编译器解析等任务时,栈是一种非常适合处理此类问题的数据结构,能够精确地管理括号的匹配问题,本文将通过C+... 目录引言问题描述代码讲解代码解析栈的状态表示测试总结引言在编程中,括号匹配是一个常见问题,尤其是在
阅读更多...
Python调用Orator ORM进行数据库操作

Python调用Orator ORM进行数据库操作

《Python调用OratorORM进行数据库操作》OratorORM是一个功能丰富且灵活的PythonORM库,旨在简化数据库操作,它支持多种数据库并提供了简洁且直观的API,下面我们就... 目录Orator ORM 主要特点安装使用示例总结Orator ORM 是一个功能丰富且灵活的 python O
阅读更多...
Nginx设置连接超时并进行测试的方法步骤

Nginx设置连接超时并进行测试的方法步骤

《Nginx设置连接超时并进行测试的方法步骤》在高并发场景下,如果客户端与服务器的连接长时间未响应,会占用大量的系统资源,影响其他正常请求的处理效率,为了解决这个问题,可以通过设置Nginx的连接... 目录设置连接超时目的操作步骤测试连接超时测试方法:总结:设置连接超时目的设置客户端与服务器之间的连接
阅读更多...
Java中String字符串使用避坑指南

Java中String字符串使用避坑指南

《Java中String字符串使用避坑指南》Java中的String字符串是我们日常编程中用得最多的类之一,看似简单的String使用,却隐藏着不少“坑”,如果不注意,可能会导致性能问题、意外的错误容... 目录8个避坑点如下:1. 字符串的不可变性:每次修改都创建新对象2. 使用 == 比较字符串,陷阱满
阅读更多...
Python使用国内镜像加速pip安装的方法讲解

Python使用国内镜像加速pip安装的方法讲解

《Python使用国内镜像加速pip安装的方法讲解》在Python开发中,pip是一个非常重要的工具,用于安装和管理Python的第三方库,然而,在国内使用pip安装依赖时,往往会因为网络问题而导致速... 目录一、pip 工具简介1. 什么是 pip?2. 什么是 -i 参数?二、国内镜像源的选择三、如何
阅读更多...
使用C++实现链表元素的反转

使用C++实现链表元素的反转

《使用C++实现链表元素的反转》反转链表是链表操作中一个经典的问题,也是面试中常见的考题,本文将从思路到实现一步步地讲解如何实现链表的反转,帮助初学者理解这一操作,我们将使用C++代码演示具体实现,同... 目录问题定义思路分析代码实现带头节点的链表代码讲解其他实现方式时间和空间复杂度分析总结问题定义给定
阅读更多...
Linux使用nload监控网络流量的方法

Linux使用nload监控网络流量的方法

《Linux使用nload监控网络流量的方法》Linux中的nload命令是一个用于实时监控网络流量的工具,它提供了传入和传出流量的可视化表示,帮助用户一目了然地了解网络活动,本文给大家介绍了Linu... 目录简介安装示例用法基础用法指定网络接口限制显示特定流量类型指定刷新率设置流量速率的显示单位监控多个
阅读更多...
JavaScript中的reduce方法执行过程、使用场景及进阶用法

JavaScript中的reduce方法执行过程、使用场景及进阶用法

《JavaScript中的reduce方法执行过程、使用场景及进阶用法》:本文主要介绍JavaScript中的reduce方法执行过程、使用场景及进阶用法的相关资料,reduce是JavaScri... 目录1. 什么是reduce2. reduce语法2.1 语法2.2 参数说明3. reduce执行过程
阅读更多...
如何使用Java实现请求deepseek

如何使用Java实现请求deepseek

《如何使用Java实现请求deepseek》这篇文章主要为大家详细介绍了如何使用Java实现请求deepseek功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1.deepseek的api创建2.Java实现请求deepseek2.1 pom文件2.2 json转化文件2.2
阅读更多...
python使用fastapi实现多语言国际化的操作指南

python使用fastapi实现多语言国际化的操作指南

《python使用fastapi实现多语言国际化的操作指南》本文介绍了使用Python和FastAPI实现多语言国际化的操作指南,包括多语言架构技术栈、翻译管理、前端本地化、语言切换机制以及常见陷阱和... 目录多语言国际化实现指南项目多语言架构技术栈目录结构翻译工作流1. 翻译数据存储2. 翻译生成脚本
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2