JWT 令牌

本教程向您展示如何通过设置 Istio 授权策略来实现基于 JSON Web Token(JWT)的强制访问控制。 Istio 授权策略同时支持字符串类型和列表类型的 JWT 声明。

开始之前

在开始这个任务之前,请先完成以下操作:

  • 完成 Istio 最终用户身份验证任务

  • 阅读 Istio 授权概念

  • 参照 Istio 安装指南安装 Istio。

  • 部署两个工作负载(workload):httpbinsleep。将它们部署在同一个命名空间中,例如 foo。每个工作负载都在前面运行一个 Envoy 代理。 你可以使用以下命令来部署它们:

    ZipZip

    1. $ kubectl create ns foo
    2. $ kubectl apply -f <(istioctl kube-inject -f @samples/httpbin/httpbin.yaml@) -n foo
    3. $ kubectl apply -f <(istioctl kube-inject -f @samples/sleep/sleep.yaml@) -n foo
  • 使用下面的命令验证 sleep 能够正常访问 httpbin 服务:

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl http://httpbin.foo:8000/ip -sS -o /dev/null -w "%{http_code}\n"
    2. 200

如果你没有看到预期的输出,过几秒再试。缓存和策略传播可能造成延迟。

允许包含有效 JWT 和 列表类型声明的请求

  1. 以下命令为 foo 命名空间下的 httpbin 工作负载创建一个名为 jwt-example 的身份验证策略。这个策略使得 httpbin 工作负载接收 Issuer 为 testing@secure.istio.io 的 JWT 令牌:

    1. $ kubectl apply -f - <<EOF
    2. apiVersion: security.istio.io/v1beta1
    3. kind: RequestAuthentication
    4. metadata:
    5. name: "jwt-example"
    6. namespace: foo
    7. spec:
    8. selector:
    9. matchLabels:
    10. app: httpbin
    11. jwtRules:
    12. - issuer: "testing@secure.istio.io"
    13. jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.17/security/tools/jwt/samples/jwks.json"
    14. EOF
  2. 验证使用无效 JWT 的请求被拒绝:

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer invalidToken" -w "%{http_code}\n"
    2. 401
  3. 验证没有 JWT 令牌的请求被允许,因为以上策略不包含授权策略:

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -w "%{http_code}\n"
    2. 200
  4. 以下命令为 foo 命名空间下的 httpbin 工作负载创建一个名为 require-jwt 的授权策略。 这个策略要求所有发往 httpbin 服务的请求都要包含一个将 requestPrincipal 设置为 testing@secure.istio.io/testing@secure.istio.io 的有效 JWT。Istio 使用 / 连接 JWT 令牌的 isssub 以组成 requestPrincipal 字段。

    1. $ kubectl apply -f - <<EOF
    2. apiVersion: security.istio.io/v1beta1
    3. kind: AuthorizationPolicy
    4. metadata:
    5. name: require-jwt
    6. namespace: foo
    7. spec:
    8. selector:
    9. matchLabels:
    10. app: httpbin
    11. action: ALLOW
    12. rules:
    13. - from:
    14. - source:
    15. requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]
    16. EOF
  5. 获取 isssub 都为 testing@secure.istio.io 的 JWT。这会让 Istio 生成的 requestPrincipal 属性值为 testing@secure.istio.io/testing@secure.istio.io

    1. $ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.17/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN" | cut -d '.' -f2 - | base64 --decode -
    2. {"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"testing@secure.istio.io","sub":"testing@secure.istio.io"}
  6. 验证使用有效 JWT 的请求被允许:

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer $TOKEN" -w "%{http_code}\n"
    2. 200
  7. 验证没有 JWT 的请求被拒绝:

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -w "%{http_code}\n"
    2. 403
  8. 以下命令更新 require-jwt 授权策略,使其同时要求 JWT 包含一个名为 groups 值为 group1 的声明:

    1. $ kubectl apply -f - <<EOF
    2. apiVersion: security.istio.io/v1beta1
    3. kind: AuthorizationPolicy
    4. metadata:
    5. name: require-jwt
    6. namespace: foo
    7. spec:
    8. selector:
    9. matchLabels:
    10. app: httpbin
    11. action: ALLOW
    12. rules:
    13. - from:
    14. - source:
    15. requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]
    16. when:
    17. - key: request.auth.claims[groups]
    18. values: ["group1"]
    19. EOF

    除非声明本身包含引号,否则请勿在 request.auth.claims 字段包含引号。

  9. 获取 groups 声明列表为 group1group2 的 JWT:

    1. $ TOKEN_GROUP=$(curl https://raw.githubusercontent.com/istio/istio/release-1.17/security/tools/jwt/samples/groups-scope.jwt -s) && echo "$TOKEN_GROUP" | cut -d '.' -f2 - | base64 --decode -
    2. {"exp":3537391104,"groups":["group1","group2"],"iat":1537391104,"iss":"testing@secure.istio.io","scope":["scope1","scope2"],"sub":"testing@secure.istio.io"}
  10. 验证包含 JWT 且 JWT 中包含名为 groups 值为 group1 声明的请求被允许:

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer $TOKEN_GROUP" -w "%{http_code}\n"
    2. 200
  11. 验证包含 JWT,但 JWT 不包含 groups 声明的请求被拒绝:

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer $TOKEN" -w "%{http_code}\n"
    2. 403

清理

  1. 删除 foo 命名空间:

    1. $ kubectl delete namespace foo