Autenticación de origen de Istio basada en OIDC

Este artículo describirá cómo generar un token jwt que se puede autenticar a través de istio. La autenticación de origen para istio se implementa a través de la especificación de conexión OpenID, donde solo necesita seguir una pequeña parte de la especificación OIDC para obtener un token autenticable.

Primero, echemos un vistazo a la documentación oficial de istio.

La verificación del origen de ISTIO se realiza a través de ENVOY, consulte el JWT en la documentación oficial de Envoy:

Como puede ver, istio tendrá firma, audiencia, firma, audiencia, audiencia, audiencia. , audiencia, audiencia y audiencia. , audiencias, atributos del emisor, pero también verifica el período de validez, y solo admite los algoritmos ES256 y RS256, por lo que debemos garantizar la estandarización de estos tres atributos de nuestra generación de tokens.

, entonces la interfaz correspondiente es /.well-known/openid-configuration. Por supuesto, muchos de los atributos pueden ser exclusivos de Google. Puede consultar la documentación oficial de OIDC para obtener más detalles.

Configurar la política en istio para que se ejecute el servicio de autenticación de origen. El emisor es el mismo que cuando se generó el token y jwksUri es la dirección de interfaz que se utilizará para abrir la clave pública. Si no se proporciona jwksUri, se utilizará emitr/.well-known/openid-configuration para acceder a la interfaz de notificaciones de OIDC para encontrar jwks_uri y obtener la clave pública.

Además, se admite la exclusión de determinadas rutas o la actuación solo en determinadas rutas (de la documentación oficial)

Para obtener más información, consulte https://istio.io/docs Inglés oficial documentación en /reference/config/istio.authentication.v1alpha1/

Personal.

Si está interesado, puede estudiar el código fuente de algunos marcos de código abierto que implementan la especificación OIDC para obtener una comprensión más profunda.

Esta es la primera vez que veo la especificación OIDC en acción.