复制 JWT 声明到 HTTP 头

本任务向您展示通过 Istio 请求身份验证策略成功完成 JWT 身份验证之后如何将 JWT 声明复制到 HTTP 头。

开始之前

开始此任务之前，请做好以下准备：

• 熟悉 Istio 终端用户身份验证支持。

• 使用 Istio 安装指南安装 Istio。

• 在已启用 Sidecar 注入的命名空间 foo 中部署 httpbin 和 sleep 工作负载。使用以下命令部署命名空间和工作负载示例：

  ZipZip

  $ kubectl create ns foo
  $ kubectl label namespace foo istio-injection=enabled
  $ kubectl apply -f @samples/httpbin/httpbin.yaml@ -n foo
  $ kubectl apply -f @samples/sleep/sleep.yaml@ -n foo
  

• 使用以下命令验证 sleep 是否成功与 httpbin 通信：

  $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl http://httpbin.foo:8000/ip -sS -o /dev/null -w "%{http_code}\n"
  200
  

允许具有有效 JWT 和列表类型声明的请求

1. 以下命令为 foo 命名空间中的 httpbin 工作负载创建 jwt-example 请求身份验证策略。 此策略接受 testing@secure.istio.io 签发的 JWT，并将声明 foo 的值复制到一个 HTTP 头 X-Jwt-Claim-Foo：

   $ kubectl apply -f - <<EOF
   apiVersion: security.istio.io/v1beta1
   kind: RequestAuthentication
   metadata:
     name: "jwt-example"
     namespace: foo
   spec:
     selector:
       matchLabels:
         app: httpbin
     jwtRules:
     - issuer: "testing@secure.istio.io"
       jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.19/security/tools/jwt/samples/jwks.json"
       outputClaimToHeaders:
       - header: "x-jwt-claim-foo"
         claim: "foo"
   EOF
   

2. 确认带有无效 JWT 的请求被拒绝：

   $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer invalidToken" -w "%{http_code}\n"
   401
   

3. 获取 testing@secure.istio.io 签发的且有一个声明的键是 foo 的 JWT。

   $ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.19/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN" | cut -d '.' -f2 - | base64 --decode -
   {"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"testing@secure.istio.io","sub":"testing@secure.istio.io"}
   

4. 确认允许带有有效 JWT 的请求：

   $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -o /dev/null -H "Authorization: Bearer $TOKEN" -w "%{http_code}\n"
   200
   

5. 确认请求包含有效的 HTTP 头且这个头具有 JWT 声明值：

   $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -sS -H "Authorization: Bearer $TOKEN" | grep "X-Jwt-Claim-Foo" | sed -e 's/^[ \t]*//'
   "X-Jwt-Claim-Foo": "bar"
   

清理

移除命名空间 foo：

$ kubectl delete namespace foo