istio学习(二) 使用JWT进行权限验证

2024-06-20 08:08
文章标签 进行 学习 使用 验证 jwt 权限 istio

本文主要是介绍istio学习(二) 使用JWT进行权限验证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • 前言
  • 1、生成JWK
  • 2、测试密钥可用性
  • 3、创建RequestAuthentication
  • 4、访问测试
  • 5、创建AuthorizationPolicy
  • 6、JAVA生成密钥

前言

参考:https://www.cnblogs.com/kirito-c/p/12464531.html

提示:以下是本篇文章正文内容,下面案例可供参考

1、生成JWK

在linux使用OPENSSL生成公钥和私钥

# 1. 生成 2048 位(不是 256 位)的 RSA 密钥
openssl genrsa -out rsa-private-key.pem 2048# 2. 通过密钥生成公钥
openssl rsa -in rsa-private-key.pem -pubout -out rsa-public-key.pem

使用在线工具将RSA公钥转为JWK
地址为:https://8gwifi.org/jwkconvertfunctions.jsp
最后生成的私钥rsa-private-key.pem如下:

-----BEGIN RSA PRIVATE KEY-----
**********省略***********
-----END RSA PRIVATE KEY-----

最后生成的公钥rsa-public-key.pem如下:

-----BEGIN PUBLIC KEY-----
***********省略*************
-----END PUBLIC KEY-----

最后生成的JWK如下:

{"kty": "RSA","e": "AQAB","kid": "49647d9c-9721-4b69-8071-8ff0fc2560c9","n": "*************"
}

2、测试密钥可用性

在jwt.io填上公钥和私钥,以及iss
在这里插入图片描述

3、创建RequestAuthentication

创建request-authentication.yaml

apiVersion: "security.istio.io/v1beta1"
kind: "RequestAuthentication"
metadata:name: "jwt-example"namespace: istio-system
spec:selector:matchLabels:istio: ingressgatewayjwtRules:- issuer: "1234567890"jwks: '{"keys": [{"kty": "RSA","e": "AQAB","kid": "49647d9c-9721-4b69-8071-8ff0fc2560c9","n": "********"}]}'forwardOriginalToken: true

kubectl apply -f request-authentication.yaml

4、访问测试

直接访问istio中某个应用istio-call,不带Authorization请求头,可参见“6、部署istio示例”,可以成功。
在这里插入图片描述
如果带着Authorization请求头,值不对,返回401错误。
在这里插入图片描述
如果带着Authorization请求头,值使用第2步生成的,可以访问成功
在这里插入图片描述

5、创建AuthorizationPolicy

使用上面创建的RequestAuthentication,如果请求头中不携带Authorization,就可以跳过认证,需要创建AuthorizationPolicy

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:name: require-jwtnamespace: istio-system
spec:selector:matchLabels:istio: ingressgatewayaction: ALLOWrules:- from:- source:requestPrincipals: ["1234567890/*"]

kubectl apply -f authorizationPolicy.yaml

从postman发送请求,如果不添加Authorization请求头,会报403错误:
在这里插入图片描述
如果添加正确的请求头:
在这里插入图片描述

6、JAVA生成密钥

将私钥文件转换

openssl pkcs8 -topk8 -inform PEM -outform DER -in rsa-private-key.pem -out pkcs8_private.key -nocrypt

引入java-jwt依赖,这里使用的gradle,如果使用maven,替换为maven的方式

api group: 'com.auth0', name: 'java-jwt', version: "3.3.0"

生成token:

private static Algorithm createRsaAlgorithm(Boolean privateKeyFlag) throws IOException, NoSuchAlgorithmException, InvalidKeySpecException {RSAPrivateKey privateKey = null;RSAPublicKey publicKey = null;if (privateKeyFlag == null || privateKeyFlag) {@Cleanup InputStream is = ConfigUtils.getInOutConfigStream("/rsakey/pkcs8_private.key");ByteArrayOutputStream baos = new ByteArrayOutputStream();is.transferTo(baos);byte[] keyBytes = baos.toByteArray();PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(keyBytes);KeyFactory kf = KeyFactory.getInstance("RSA");privateKey = (RSAPrivateKey) kf.generatePrivate(spec);} else if (privateKeyFlag == null || !privateKeyFlag) {InputStream is2 = ConfigUtils.getInOutConfigStream("/rsakey/rsa-public-key.pem");@Cleanup PemReader pemReader = new PemReader(new InputStreamReader(is2));PemObject pemObject = pemReader.readPemObject();X509EncodedKeySpec pubKeySpec = new X509EncodedKeySpec(pemObject.getContent());KeyFactory kf2 = KeyFactory.getInstance("RSA");publicKey = (RSAPublicKey) kf2.generatePublic(pubKeySpec);}return Algorithm.RSA256(publicKey, privateKey);
}生成token的代码如下:
JWT.create().withHeader(map).withIssuer(ISS).withClaim("username", username).withClaim("date", iatDate).withClaim("sub", ISS).withClaim("iss", ISS).withExpiresAt(expiresDate).withIssuedAt(iatDate).sign(createRsaAlgorithm(true));

这篇关于istio学习(二) 使用JWT进行权限验证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1077568

相关文章

python管理工具之conda安装部署及使用详解

python管理工具之conda安装部署及使用详解

《python管理工具之conda安装部署及使用详解》这篇文章详细介绍了如何安装和使用conda来管理Python环境,它涵盖了从安装部署、镜像源配置到具体的conda使用方法,包括创建、激活、安装包... 目录pytpshheraerUhon管理工具:conda部署+使用一、安装部署1、 下载2、 安装3
阅读更多...
Mysql虚拟列的使用场景

Mysql虚拟列的使用场景

《Mysql虚拟列的使用场景》MySQL虚拟列是一种在查询时动态生成的特殊列,它不占用存储空间,可以提高查询效率和数据处理便利性,本文给大家介绍Mysql虚拟列的相关知识,感兴趣的朋友一起看看吧... 目录1. 介绍mysql虚拟列1.1 定义和作用1.2 虚拟列与普通列的区别2. MySQL虚拟列的类型2
阅读更多...
使用MongoDB进行数据存储的操作流程

使用MongoDB进行数据存储的操作流程

《使用MongoDB进行数据存储的操作流程》在现代应用开发中,数据存储是一个至关重要的部分,随着数据量的增大和复杂性的增加,传统的关系型数据库有时难以应对高并发和大数据量的处理需求,MongoDB作为... 目录什么是MongoDB?MongoDB的优势使用MongoDB进行数据存储1. 安装MongoDB
阅读更多...
关于@MapperScan和@ComponentScan的使用问题

关于@MapperScan和@ComponentScan的使用问题

《关于@MapperScan和@ComponentScan的使用问题》文章介绍了在使用`@MapperScan`和`@ComponentScan`时可能会遇到的包扫描冲突问题,并提供了解决方法,同时,... 目录@MapperScan和@ComponentScan的使用问题报错如下原因解决办法课外拓展总结@
阅读更多...
mysql数据库分区的使用

mysql数据库分区的使用

《mysql数据库分区的使用》MySQL分区技术通过将大表分割成多个较小片段,提高查询性能、管理效率和数据存储效率,本文就来介绍一下mysql数据库分区的使用,感兴趣的可以了解一下... 目录【一】分区的基本概念【1】物理存储与逻辑分割【2】查询性能提升【3】数据管理与维护【4】扩展性与并行处理【二】分区的
阅读更多...
使用Python实现在Word中添加或删除超链接

使用Python实现在Word中添加或删除超链接

《使用Python实现在Word中添加或删除超链接》在Word文档中,超链接是一种将文本或图像连接到其他文档、网页或同一文档中不同部分的功能,本文将为大家介绍一下Python如何实现在Word中添加或... 在Word文档中,超链接是一种将文本或图像连接到其他文档、网页或同一文档中不同部分的功能。通过添加超
阅读更多...
Linux使用fdisk进行磁盘的相关操作

Linux使用fdisk进行磁盘的相关操作

《Linux使用fdisk进行磁盘的相关操作》fdisk命令是Linux中用于管理磁盘分区的强大文本实用程序,这篇文章主要为大家详细介绍了如何使用fdisk进行磁盘的相关操作,需要的可以了解下... 目录简介基本语法示例用法列出所有分区查看指定磁盘的区分管理指定的磁盘进入交互式模式创建一个新的分区删除一个存
阅读更多...
C#使用HttpClient进行Post请求出现超时问题的解决及优化

C#使用HttpClient进行Post请求出现超时问题的解决及优化

《C#使用HttpClient进行Post请求出现超时问题的解决及优化》最近我的控制台程序发现有时候总是出现请求超时等问题,通常好几分钟最多只有3-4个请求,在使用apipost发现并发10个5分钟也... 目录优化结论单例HttpClient连接池耗尽和并发并发异步最终优化后优化结论我直接上优化结论吧,
阅读更多...
SpringBoot使用Apache Tika检测敏感信息

SpringBoot使用Apache Tika检测敏感信息

《SpringBoot使用ApacheTika检测敏感信息》ApacheTika是一个功能强大的内容分析工具,它能够从多种文件格式中提取文本、元数据以及其他结构化信息,下面我们来看看如何使用Ap... 目录Tika 主要特性1. 多格式支持2. 自动文件类型检测3. 文本和元数据提取4. 支持 OCR(光学
阅读更多...
JAVA系统中Spring Boot应用程序的配置文件application.yml使用详解

JAVA系统中Spring Boot应用程序的配置文件application.yml使用详解

《JAVA系统中SpringBoot应用程序的配置文件application.yml使用详解》:本文主要介绍JAVA系统中SpringBoot应用程序的配置文件application.yml的... 目录文件路径文件内容解释1. Server 配置2. Spring 配置3. Logging 配置4. Ma
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2