将 JWT Claims 复制到 HTTP Header

 2 分钟阅读    页面测试

此任务向您展示如何在 JWT 身份验证成功完成后,通过 Istio 请求身份验证策略将有效的 JWT Claim 复制到 HTTP Header。

开始之前

在开始此任务之前,请执行以下操作

  • 熟悉 Istio 最终用户身份验证 支持。

  • 使用 Istio 安装指南 安装 Istio。

  • foo 命名空间中部署 httpbincurl 工作负载,并启用 Sidecar 注射。使用以下命令部署示例命名空间和工作负载

    ZipZip
    $ kubectl create ns foo
$ kubectl label namespace foo istio-injection=enabled
$ kubectl apply -f @samples/httpbin/httpbin.yaml@ -n foo
$ kubectl apply -f @samples/curl/curl.yaml@ -n foo

  • 使用以下命令验证 curl 是否成功与 httpbin 通信

    $ kubectl exec "$(kubectl get pod -l app=curl -n foo -o jsonpath={.items..metadata.name})" -c curl -n foo -- curl http://httpbin.foo:8000/ip -sS -o /dev/null -w "%{http_code}\n"
200

允许带有有效 JWT 和列表类型 Claim 的请求

  1. 以下命令为 foo 命名空间中的 httpbin 工作负载创建 jwt-example 请求身份验证策略。此策略接受由 [email protected] 发出的 JWT,并将 Claim foo 的值复制到 HTTP Header X-Jwt-Claim-Foo

    $ kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1
kind: RequestAuthentication
metadata:
  name: "jwt-example"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  jwtRules:
  - issuer: "[email protected]"
    jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.24/security/tools/jwt/samples/jwks.json"
    outputClaimToHeaders:
    - header: "x-jwt-claim-foo"
      claim: "foo"
EOF

  2. 验证是否拒绝了带有无效 JWT 的请求

    $ kubectl exec "$(kubectl get pod -l app=curl -n foo -o jsonpath={.items..metadata.name})" -c curl -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer invalidToken" -w "%{http_code}\n"
401

  3. 获取由 [email protected] 发出并具有键为 foo 的 Claim 的 JWT。

    $ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.24/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN" | cut -d '.' -f2 - | base64 --decode -
{"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"[email protected]","sub":"[email protected]"}

  4. 验证是否允许带有有效 JWT 的请求

    $ kubectl exec "$(kubectl get pod -l app=curl -n foo -o jsonpath={.items..metadata.name})" -c curl -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer $TOKEN" -w "%{http_code}\n"
200

  5. 验证请求是否包含具有 JWT 声明值的有效 HTTP 头。

    $ kubectl exec "$(kubectl get pod -l app=curl -n foo -o jsonpath={.items..metadata.name})" -c curl -n foo -- curl "http://httpbin.foo:8000/headers" -sS -H "Authorization: Bearer $TOKEN" | jq '.headers["X-Jwt-Claim-Foo"][0]'
"bar"

清理

移除命名空间 foo

$ kubectl delete namespace foo
这些信息是否有用?
您对改进有任何建议吗?

感谢您的反馈!