服务网格 ASM：对HTTP请求中的JWT进行认证和鉴权

步骤一：创建命名空间并部署示例服务

1. 创建foo命名空间，设置标签名称为istio-injection，值为enabled。具体操作，请参见管理全局命名空间。

2. 使用以下内容，创建httpbin.yaml和sleep.yaml。

   展开查看httpbin.yaml

   apiVersion: v1
   kind: ServiceAccount
   metadata:
    name: httpbin
   ---
   apiVersion: v1
   kind: Service
   metadata:
    name: httpbin
    labels:
    app: httpbin
    service: httpbin
   spec:
    ports:
    - name: http
    port: 8000
    targetPort: 80
    selector:
    app: httpbin
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
    name: httpbin
   spec:
    replicas: 1
    selector:
    matchLabels:
    app: httpbin
    version: v1
    template:
    metadata:
    labels:
    app: httpbin
    version: v1
    spec:
    serviceAccountName: httpbin
    containers:
    - image: docker.io/kennethreitz/httpbin
    imagePullPolicy: IfNotPresent
    name: httpbin
    ports:
    - containerPort: 80

   展开查看sleep.yaml

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     name: sleep
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: sleep
     labels:
       app: sleep
       service: sleep
   spec:
     ports:
     - port: 80
       name: http
     selector:
       app: sleep
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: sleep
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: sleep
     template:
       metadata:
         labels:
           app: sleep
       spec:
         terminationGracePeriodSeconds: 0
         serviceAccountName: sleep
         containers:
         - name: sleep
           image: curlimages/curl
           command: ["/bin/sleep", "3650d"]
           imagePullPolicy: IfNotPresent
           volumeMounts:
           - mountPath: /etc/sleep/tls
             name: secret-volume
         volumes:
         - name: secret-volume
           secret:
             secretName: sleep-secret
             optional: true
   ---

3. 通过kubectl连接集群，分别执行以下命令，在foo命名空间部署httpbin和sleep服务。

   关于如何通过kubectl连接集群，请参见获取集群KubeConfig并通过kubectl工具连接集群。

   kubectl apply -f httpbin.yaml -n foo
   kubectl apply -f sleep.yaml -n foo

4. 通过sleep服务访问httpbin服务。

   1. 执行以下命令，进入sleep环境开启bash。

      kubectl exec -it deploy/sleep -- sh

   2. 执行以下命令，向httpbin服务发送请求。

      curl -I httpbin.foo.svc.cluster.local:8000

      预期输出：

      HTTP/1.1 200 OK
      server: envoy
      date: Thu, 21 Dec 2023 07:39:55 GMT
      content-type: text/html; charset=utf-8
      content-length: 9593
      access-control-allow-origin: *
      access-control-allow-credentials: true
      x-envoy-upstream-service-time: 14

      返回200 OK，表明请求成功。

步骤二：创建请求身份认证

1. 登录ASM控制台，在左侧导航栏，选择服务网格 > 网格管理。

2. 在网格管理页面，单击目标实例名称，然后在左侧导航栏，选择网格安全中心 > 请求身份认证，然后单击使用YAML创建。

3. 设置命名空间为foo，然后在文本框中输入请求身份认证的YAML内容，单击创建。

   以下YAML表示当请求httpbin服务时，需匹配jwtRules中定义的规则，即请求头中如果包含Access Token信息，解码后的iss的值必须为testing@secure.istio.io。jwks中定义了Token生成的相关信息。更多信息，请参见JWT官方文档。

   apiVersion: "security.istio.io/v1beta1"
   kind: "RequestAuthentication"
   metadata:
     name: "jwt-example"
     namespace: foo
   spec:
     selector:
       matchLabels:
         app: httpbin
     jwtRules:
     - issuer: "testing@secure.istio.io"
       jwks: '{ "keys":[ {"e":"AQAB","kid":"DHFbpoIUqrY8t2zpA2qXfCmr5VO5ZEr4RzHU_-envvQ","kty":"RSA","n":"xAE7eB6qugXyCAG3yhh7pkDkT65pHymX-P7KfIupjf59vsdo91bSP9C8H07pSAGQO1MV_xFj9VswgsCg4R6otmg5PV2He95lZdHtOcU5DXIg_pbhLdKXbi66GlVeK6ABZOUW3WYtnNHD-91gVuoeJT_DwtGGcp4ignkgXfkiEm4sw-4sfb4qdt5oLbyVpmW6x9cfa7vs2WTfURiCrBoUqgBo_-4WTiULmmHSGZHOjzwa8WtrtOQGsAFjIbno85jp6MnGGGZPYZbDAa_b3y5u-YpW7ypZrvD8BgtKVjgtQgZhLAGezMt0ua3DRrWnKqTZ0BJ_EyxOGuHJrLsn00fnMQ"}]}'

4. 解析Token。

   本示例使用的Token信息如下所示。

   TOKEN='eyJhbGciOiJSUzI1NiIsImtpZCI6IkRIRmJwb0lVcXJZOHQyenBBMnFYZkNtcjVWTzVaRXI0UnpIVV8tZW52dlEiLCJ0eXAiOiJKV1QifQ.eyJleHAiOjQ2ODU5ODk3MDAsImZvbyI6ImJhciIsImlhdCI6MTUzMjM4OTcwMCwiaXNzIjoidGVzdGluZ0BzZWN1cmUuaXN0aW8uaW8iLCJzdWIiOiJ0ZXN0aW5nQHNlY3VyZS5pc3Rpby5pbyJ9.CfNnxWP2tcnR9q0vxyxweaF3ovQYHYZl82hAUsn21bwQd9zP7c-LS9qd_vpdLG4Tn1A15NxfCjp5f7QNBUo-KC9PJqYpgGbaXhaGx7bEdFWjcwv3nZzvc7M__ZpaCERdwU7igUmJqYGBYQ51vr2njU9ZimyKkfDe3axcyiBZde7G6dabliUosJvvKOPcKIWPccCgefSj_GNfwIip3-SsFdlR7BtbVUcqR-yv-XOxJ3Uc1MI0tz3uMiiZcyPV7sNCU4KRnemRIMHVOfuvHsU60_GhGbiSFzgPTAa9WTltbnarTbxudb_YEOx12JiwYToeX0DCPb43W1tzIBxgm8NxUg'

   执行以下命令，解析Token。

   echo $TOKEN | cut -d '.' -f2 - | base64 --decode -

   预期输出：

   {"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"testing@secure.istio.io","sub":"testing@secure.istio.io"}

   JWT官网也提供了同样的解析Token能力，图形化输出如下图所示。

   

5. 通过sleep服务访问httpbin服务。

   1. 执行以下命令，进入sleep环境开启bash。

      kubectl exec -it deploy/sleep -- sh

   2. 执行以下命令，向httpbin服务发送请求，请求头中包含合法的Access Token。

      请将your_valid_access_token_here 替换为实际的合法访问令牌。

      TOKEN=your_valid_access_token_here
      curl -I -H "Authorization: Bearer $TOKEN" httpbin.foo.svc.cluster.local:8000

      预期输出：

      HTTP/1.1 200 OK

   3. 执行以下命令，向httpbin服务发送请求，请求头中包含非法的Access Token。

      请将your_invalid_access_token_here替换为实际的非法访问令牌。

      INVALID_TOKEN=your_invalid_access_token_here
      curl -I -H "Authorization: Bearer $INVALID_TOKEN" httpbin.foo.svc.cluster.local:8000

      返回401 Unauthorized表示请求被身份认证拒绝，访问失败。

步骤三：创建JWT授权策略

1. 登录ASM控制台，在左侧导航栏，选择服务网格 > 网格管理。

2. 在网格管理页面，单击目标实例名称，然后在左侧导航栏，选择网格安全中心 > 授权策略，然后单击使用YAML创建。

3. 设置命名空间为foo，然后在文本框中输入授权策略的YAML内容，单击创建。

   以下YAML表示请求httpbin服务时，只有请求头Token解码后，符合iss的值+/+sub的值（即source.requestPrincipals）为testing@secure.istio.io/testing@secure.istio.io，请求权限才为ALLOW。

   apiVersion: security.istio.io/v1beta1
   kind: AuthorizationPolicy
   metadata:
     name: require-jwt
     namespace: foo
   spec:
     selector:
       matchLabels:
         app: httpbin
     action: ALLOW
     rules:
     - from:
       - source:
          requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]

4. 解析Token。

   本示例使用的Token信息如下所示。

   TOKEN='eyJhbGciOiJSUzI1NiIsImtpZCI6IkRIRmJwb0lVcXJZOHQyenBBMnFYZkNtcjVWTzVaRXI0UnpIVV8tZW52dlEiLCJ0eXAiOiJKV1QifQ.eyJleHAiOjQ2ODU5ODk3MDAsImZvbyI6ImJhciIsImlhdCI6MTUzMjM4OTcwMCwiaXNzIjoidGVzdGluZ0BzZWN1cmUuaXN0aW8uaW8iLCJzdWIiOiJ0ZXN0aW5nQHNlY3VyZS5pc3Rpby5pbyJ9.CfNnxWP2tcnR9q0vxyxweaF3ovQYHYZl82hAUsn21bwQd9zP7c-LS9qd_vpdLG4Tn1A15NxfCjp5f7QNBUo-KC9PJqYpgGbaXhaGx7bEdFWjcwv3nZzvc7M__ZpaCERdwU7igUmJqYGBYQ51vr2njU9ZimyKkfDe3axcyiBZde7G6dabliUosJvvKOPcKIWPccCgefSj_GNfwIip3-SsFdlR7BtbVUcqR-yv-XOxJ3Uc1MI0tz3uMiiZcyPV7sNCU4KRnemRIMHVOfuvHsU60_GhGbiSFzgPTAa9WTltbnarTbxudb_YEOx12JiwYToeX0DCPb43W1tzIBxgm8NxUg'

   执行以下命令，解析Token。

   echo $TOKEN | cut -d '.' -f2 - | base64 --decode -

   预期输出：

   {"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"testing@secure.istio.io","sub":"testing@secure.istio.io"}

5. 通过sleep服务访问httpbin服务。

   1. 执行以下命令，进入sleep环境开启bash。

      kubectl exec -it deploy/sleep -- sh

   2. 执行以下命令，向httpbin服务发送请求，请求头中包含合法的Access Token。

      请将your_valid_access_token_here 替换为实际的合法访问令牌。

      TOKEN=your_valid_access_token_here
      curl -I -H "Authorization: Bearer $TOKEN" httpbin.foo.svc.cluster.local:8000

      预期输出：

      HTTP/1.1 200 OK

   3. 执行以下命令，向httpbin服务发送请求，请求头中包含非法的Access Token。

      请将your_invalid_access_token_here替换为实际的非法访问令牌。

      INVALID_TOKEN=your_invalid_access_token_here
      curl -I -H "Authorization: Bearer $INVALID_TOKEN" httpbin.foo.svc.cluster.local:8000

      返回403 Forbidden表示请求被授权策略拒绝，访问失败。

步骤四：追加JWT授权策略

1. 登录ASM控制台，在左侧导航栏，选择服务网格 > 网格管理。

2. 在网格管理页面，单击目标实例名称，然后在左侧导航栏，选择网格安全中心 > 授权策略。

3. 在授权策略页面，单击require-jwt策略右侧的查看YAML。

4. 在编辑对话框，补充以下内容，然后单击确定。

       when:
       - key: request.auth.claims[groups]
         values: ["group1"]

   完整的YAML示例如下。YAML表示请求httpbin服务时，只有请求头Token解码后，符合groups的值包含group1，请求权限才为ALLOW。

   apiVersion: security.istio.io/v1beta1
   kind: AuthorizationPolicy
   metadata:
     name: require-jwt
     namespace: foo
   spec:
     selector:
       matchLabels:
         app: httpbin
     action: ALLOW
     rules:
     - from:
       - source:
          requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]
       when:
       - key: request.auth.claims[groups]
         values: ["group1"]

5. 解析Token。

   本示例使用的Token信息如下所示。

   TOKEN_GROUP='eyJhbGciOiJSUzI1NiIsImtpZCI6IkRIRmJwb0lVcXJZOHQyenBBMnFYZkNtcjVWTzVaRXI0UnpIVV8tZW52dlEiLCJ0eXAiOiJKV1QifQ.eyJleHAiOjM1MzczOTExMDQsImdyb3VwcyI6WyJncm91cDEiLCJncm91cDIiXSwiaWF0IjoxNTM3MzkxMTA0LCJpc3MiOiJ0ZXN0aW5nQHNlY3VyZS5pc3Rpby5pbyIsInNjb3BlIjpbInNjb3BlMSIsInNjb3BlMiJdLCJzdWIiOiJ0ZXN0aW5nQHNlY3VyZS5pc3Rpby5pbyJ9.EdJnEZSH6X8hcyEii7c8H5lnhgjB5dwo07M5oheC8Xz8mOllyg--AHCFWHybM48reunF--oGaG6IXVngCEpVF0_P5DwsUoBgpPmK1JOaKN6_pe9sh0ZwTtdgK_RP01PuI7kUdbOTlkuUi2AO-qUyOm7Art2POzo36DLQlUXv8Ad7NBOqfQaKjE9ndaPWT7aexUsBHxmgiGbz1SyLH879f7uHYPbPKlpHU6P9S-DaKnGLaEchnoKnov7ajhrEhGXAQRukhDPKUHO9L30oPIr5IJllEQfHYtt6IZvlNUGeLUcif3wpry1R5tBXRicx2sXMQ7LyuDremDbcNy_iE76Upg'

   执行以下命令，解析Token。

   echo "$TOKEN_GROUP" | cut -d '.' -f2 - | base64 --decode - | jq

   预期输出：

   {
     "exp": 3537391104,
     "groups": [
       "group1",
       "group2"
     ],
     "iat": 1537391104,
     "iss": "testing@secure.istio.io",
     "scope": [
       "scope1",
       "scope2"
     ],
     "sub": "testing@secure.istio.io"
   }

6. 通过sleep服务访问httpbin服务。

   1. 执行以下命令，进入sleep环境开启bash。

      kubectl exec -it deploy/sleep -- sh

   2. 执行以下命令，向httpbin服务发送请求，请求头中包含合法的Access Token。

      请将your_valid_access_token_here替换为实际的合法访问令牌。

      TOKEN=your_valid_access_token_here
      curl -I -H "Authorization: Bearer $TOKEN" httpbin.foo.svc.cluster.local:8000

      返回200 OK表示请求通过授权策略认证，访问成功。

   3. 执行以下命令，向httpbin服务发送请求，请求头中包含非法的Access Token。

      请将your_invalid_access_token_here替换为实际的非法访问令牌。

      INVALID_TOKEN=your_invalid_access_token_here
      curl -I -H "Authorization: Bearer $INVALID_TOKEN" httpbin.foo.svc.cluster.local:8000

      返回403 Forbidden表示请求被授权策略拒绝，访问失败。

相关文档

如果您想了解ASM支持的JWT算法、如何使用JwksUri、如何配置特定路径不进行请求的JWT鉴权，请参见JWT FAQ。