无法在通过RequestAuthentication的outputPayloadToHeader传递的Istio自定义AuthorizationPolicy中获取JWT标头
在通过RequestAuthentication的outputPayloadToHeader传递的Istio自定义AuthorizationPolicy中无法获取JWT标头。RequestAuthentication资源是用于配置Istio中的请求身份验证策略,而AuthorizationPolicy资源用于定义请求的授权策略。
当使用outputPayloadToHeader字段在RequestAuthentication中配置JWT转发时,它只会将JWT的负载信息转发到请求的标头中,而不是将整个JWT标头传递给下游服务。因此,在AuthorizationPolicy中无法直接获取JWT标头。
然而,我们可以通过其他方式来传递JWT标头。一种常见的方法是使用JWT作为请求的认证凭证,并在请求标头中使用"Authorization"字段来传递JWT标头。这样,在AuthorizationPolicy中可以通过检查请求标头中的"Authorization"字段来获取JWT。
对于Istio来说,您可以使用VirtualService资源来定义请求的路由规则,并在路由规则中配置需要进行授权的路径。然后,使用AuthorizationPolicy资源来定义授权策略,以允许或拒绝请求的访问。
以下是一个示例配置的代码片段:
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: jwt-authz-policy
spec:
selector:
matchLabels:
app: my-app
action: ALLOW
rules:
- to:
- operation:
methods: ["GET", "POST"]在上面的示例中,我们定义了一个名为"jwt-authz-policy"的AuthorizationPolicy资源。它使用标签选择器来选择应用标签为"my-app"的Pod,并允许GET和POST方法的请求。
通过以上配置,我们可以实现根据JWT进行授权的需求。如果需要进一步细化授权策略,可以在rules中添加更多的规则。
腾讯云的相关产品和文档链接:
- TKE(腾讯云容器服务):腾讯云容器服务,用于管理和运行应用容器化的基础设施平台。
- SCF(腾讯云无服务云函数):腾讯云无服务云函数,可让您按需运行代码,无需关心底层基础设施。
- CMQ(腾讯云消息队列 CKafka):腾讯云消息队列 CKafka,提供高吞吐量、低延迟、高可用性的消息队列服务。
- COS(腾讯云对象存储):腾讯云对象存储,提供安全、可靠、低成本的云端存储服务。
- CDN(腾讯云内容分发网络):腾讯云内容分发网络,加速内容分发,提升用户访问速度和体验。
请注意,以上是仅供参考的腾讯云产品和文档链接,其他云计算服务商也提供类似的产品和功能。
相关·内容
我们在使用Istio 1.11.4的AWS EKS上部署了kubernetese群集。我们使用JWT进行身份验证,并在头x-jwt-assertion中传递它。为了验证JWT,我们使用了Istio RequestAuthentication。为此,我们使用了Istio自定义Authorization Policy。的配置在<em
浏览 54提问于2021-11-08得票数 0
回答已采纳
1回答
我有几个微型服务并且使用istio。并且由于某些业务需求,需要每个微服务中的最终用户角色详细信息。我想知道如何在请求头中填充声明(最终用户角色) (jwt)。我在下面配置了istio。outputPayloadToHeader此元素帮助填充标头中的承载令牌。Istio刚刚验证了jwt (无记名)。但是想知道如何配置在请求头中填充jwt有效负载元素。我已经附加了屏幕快照,有效载荷属性应该被传播到请求<
浏览 1提问于2021-11-27得票数 0
因为我是新来的。我很难理解这种技术的系统是如何工作的。
比方说,我有一个项目,有8个豆荚(服务)。我理解在使用jwt的Istio网关中包含了身份验证和授权。这样每个请求都会被验证。但是具有不同角色的用户(例如:教师、学生、教职员工 )需要有一个端点来注册/登录/注销,并使用用户名和密码。是否有一种方法可以让Istio处理用户创建,将其保存到db并生成jwt?还是我必须为Auth制作另一个pod (
浏览 0提问于2021-06-02得票数 0
我们最近在kubernetes集群上设置了istio,并试图看看是否可以使用RequestAuthentication和AuthenticationPolicy来使我们只允许名称空间x中的pod在具有有效jwt令牌时与名称空间y中的pod通信。我在网上看到的所有例子似乎只适用于通过网关进行最终用户身份验证,而不是通过内部pod到pod通信。
我们尝试了几种不同的选择,但还没有任何运
浏览 7提问于2021-12-08得票数 1
回答已采纳
我找到了这个文档,,它讨论了如何在网关进行JWT令牌验证,我有一个关于这个的提问费:
有没有一种方法可以用模板值来指定jwt_uri,其中值由您指定的头的值或请求中的其他信息填充?这里的用例是我们有多个承租人,我们需要根据相应承租人的密钥来验证给定承租人的请求中的令牌,这些密钥是从jwt_uri路径中检索的,该
浏览 3提问于2020-11-05得票数 1
在同一名称空间下部署了ServiceA和ServiceB服务。已为验证请求身份验证启用istio。任何对服务的调用都需要具有带有有效jwt令牌的“Authrization”标头。它将通过RequestAuthenication和AuthorizationPolicy set进行验证。它工作正常,我可以使用有效的身份验证令牌进行http调用。调用被传递给ServiceB,但由于HTTP403而失败。它
浏览 58提问于2020-12-13得票数 0
回答已采纳
因此,我只想检查身份验证的外部请求。现在,我有以下RequestAuthenticationkind: RequestAuthentication name: jwt-authentication selector: sup.security: jwt-authenticationapiVersion: "
浏览 0提问于2020-07-22得票数 0
我需要在名称空间“默认”中设置授权策略,这应该检查JWT令牌是否存在于标头拒绝访问中。因此,我设置了一个策略“允许-零”如下所示。这将拒绝在标头中没有有效令牌的所有请求。我想将同一名称空间中的一些应用程序排除在此规则之外。允许访问的应用程序需要位于相同的命名空间中。我能创造这样一条规则吗。任何关于这方面的指示都会有帮助。尝试了很少的事情,但一直未能使这一工作。:
istio
浏览 5提问于2021-05-21得票数 1
问题
我正在尝试在Istio网格中配置RequestAuthentication (和AuthorizationPolicy)。我的JWK令牌是由内部OAUTH服务器(基于CloudFoundry)提供的,该服务器在其他服务中运行良好。当我配置uri以获取签名密钥、链接到内部pod时,我的问题就来了。此时,Istio并没有解析内部pod的名称。我感到困惑,因为微服务能够连接到我<e
浏览 10提问于2021-03-17得票数 2
回答已采纳
我正在测试Istio,现在我要测试路由流量的“金丝雀”能力。我只是传递一个像A,E,C,B,B,D这样的路径,请求遵循这个路径。为了从集群外部调用servicemesh,我有一个,其中有一个在serviceA pod上指向的In规则kind: VirtualService name: ServiceA
namespace: d
浏览 0提问于2018-08-10得票数 8
我有一个场景,我的服务调用方将传递一个JWT (JSON web令牌),我希望将该值传递给使用lambda函数的自定义授权程序,以便解密它并将策略返回给调用方,在那里策略可以允许该用户或拒绝它。在lambda完成JWT解密之后添加一个标头值。
服务标记为授权方法,该方法是自定义授权程序。
浏览 3提问于2017-01-30得票数 1
我已经将与AWS认知技术结合起来,利用Istio,正如文章所描述的,所有这些都是在K8S中运行的。现在,我正在寻找一种方法来获取用户的数据和其他,如gender、phone_number,甚至在我的前端应用程序中获取cognito:groups值。所有这些信息都存在于JWT有效负载中,而不是在前端。
对的/auth2
浏览 5提问于2022-04-26得票数 3
回答已采纳
我对库伯奈特来说是新手,只是在k8s上做一些小的研发工作。正在检查不同的部署策略,如滚动更新、重新创建、蓝绿色和金丝雀。如果我是正确的,金丝雀部署背后的想法是推出新的版本来设置用户。在这里,我的问题让我的团队有开发人员和测试团队。无论何时测试团队试图访问应用程序,它都应该重定向到新版本的应用程序,这是可能的吗?还是金丝雀只用于同时运行两个版本的应用程序和一个服务?
浏览 4提问于2020-08-21得票数 1
回答已采纳
1回答
这是我的认证,kind: RequestAuthentication name:prod-authenticatorjwksUri: https://www.googleapis.com/service_accounts/v1/jwk/securetoken@system.gserviceaccount.com
我的AuthorizationPo
浏览 3提问于2021-01-23得票数 1
回答已采纳
我有一个示例应用程序(web-app、后端-1、后端-2)部署在minikube上,所有这些应用程序都是在JWT策略下部署的,它们都有正确的目的地规则、Istio sidecar和MTLS,以确保东西通信的安全,这是因为$TOKEN在http请求期间没有被转发到后端-1和后端-2报头。$> curl http://minikubeip/api "Authorization: Bearer $TOKEN&qu
浏览 1提问于2019-11-26得票数 1
我试图在报头中传递一个承载令牌,以授权客户端连接。SignalR集线器通过从标头抓取承载令牌来授权客户端。我不能修改SingalR集线器代码以使用查询字符串来获取令牌,也不能使用内置的JWT令牌功能。
如何向SignalR类型记录客户端添加自定义标头?我认为唯一可以做的事情是重写HttpClient来添加标题,但是我不确定这是否可能,也不确定如何这样做。我在角8和
浏览 11提问于2020-01-08得票数 5
回答已采纳
4回答
我试图在我的身份验证系统中实现JWT,我有几个问题。为了存储令牌,我可以使用cookie,但也可以使用localStorage或sessionStorage。那么它将如何保护不受CSRF的影响呢?我还看到一些人在URL中实现了令牌:
http:&
浏览 11提问于2014-10-13得票数 75
回答已采纳
1回答
我想通过Istio在GRPC服务上设置一个。是否有人设法将auth策略添加到由Istio管理的GRPC服务中?
浏览 0提问于2018-08-27得票数 4
我考虑是否有一种使用Istio将不透明令牌转换为JWT的方法。用例:有两个服务(服务1是使用者,服务2是生产者) Service1使用不透明令牌,Service2可以使用JWT令牌进行身份验证和授权。为了避免在service2中添加不透明令牌身份验证,我考虑是否可以使用sidecar模式(确切地在Istio中)从service1获取请求(re1),提取授权头,将请求(authReq1)传递<
浏览 2提问于2022-02-15得票数 2
回答已采纳
我正在为我的应用程序实现一个访问管理器,但还没有找到一个优雅的解决方案将数据从AWS Lambda传递到客户端。
用户将尝试到达指向访问管理器的IP地址的。访问管理器将检查会话是否存在或提示用户登录。一旦通过身份验证,访问管理器将从CloudFront中获取我的应用程序,在授权头中有一个比勒令牌。在查看器请求时,我使用Lambda函数验证该令牌,如果成功,则返回应用程序,否则将返回401错误。任何不
浏览 2提问于2022-01-18得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
