單點登錄(SSO)簡化了用戶體驗,使用戶能夠在訪問多個應用時只需一次登錄。這提高了用戶滿意度�����,減少了密碼遺忘的風險�,同時增強了安全性。但是,實現單點登錄并不容易��,需要應用程序實現和認證服務器的交互邏輯�,增加了應用程序的開發工作量。Envoy Gateway 在最新版本中的安全策略中提供了 OpenID Connect (OIDC) 的能力,采用 Envoy Gateway�����,無需對應用做任何修改���,在十分鐘內即可立刻實現單點登錄�����。1Hw28資訊網——每日最新資訊28at.com
什么是單點登錄(SSO) ��?
SSO 是 英文 Single Sign-On 的縮寫,翻譯為中文即為單點登錄。當采用單點登錄之后�,用戶只需要登錄一次���,就可以訪問多個應用系統。SSO 通常由一個獨立的身份管理系統來完成��,該系統為每個用戶分配一個全局唯一的標識���,用戶在登錄時��,只需要提供一次身份認證��,就可以訪問所有的應用系統。我們在使用一些網站時�,經常會看到“使用微信登錄”����、“使用 Google 賬戶登錄”等按鈕���,這些網站就是通過 SSO 來實現的����。1Hw28資訊網——每日最新資訊28at.com
采用單點登錄有以下幾個好處:1Hw28資訊網——每日最新資訊28at.com
- ? 用戶只需要登錄一次,就可以訪問多個應用系統���,不需要為每個應用系統都單獨登錄。
- ? 應用系統不需要自己實現用戶認證���,只需將認證工作交給單點登錄系統,可以大大減少應用系統的開發工作量�����。
圖片1Hw28資訊網——每日最新資訊28at.com
什么是 OpenID Connect (OIDC) ��?
SSO 通常是通過 OpenID Connect (OIDC) 1 來實現的��。OIDC 是一個基于 OAuth 2.0 2 協議之上的身份認證協議。1Hw28資訊網——每日最新資訊28at.com
OAuth 2.0 協議本身是一個授權協議���,OAuth 2.0 協議中的授權服務器(Authorization Server)負責對用戶進行身份認證�����,認證成功后�,授權服務器會向客戶端頒發一個訪問令牌(Access Token),客戶端可以使用該令牌來訪問該用戶的受保護的資源���。例如用戶可以通過 OAuth 2.0 授權一個第三方應用訪問其 Github 賬號下的代碼庫。Access Token 是一個透明的字符串����,只有授權服務器才知道如何解讀��。客戶端會在訪問受保護資源時帶上 Acces Token����,授權服務器根據 Access Token 來判斷該請求是否有訪問指定資源的權限��。Access Token 只用于對資源訪問進行授權,其中并沒有用戶身份信息��。1Hw28資訊網——每日最新資訊28at.com
OIDC 通過在 OAuth 2.0 協議之上增加了一個 ID Token 來實現身份認證�。OIDC 的認證過程和 OAuth 2.0 的認證過程是一樣的,只是認證服務器在對用戶認證后向客戶端頒發的是一個 ID Token 而不是 Access Token�����。ID Token 是一個 JSON Web Token (JWT) 3���,JWT Token 是一個標準的格式���,其中包含了用戶的身份信息���,例如用戶的唯一標識�����,用戶名,郵箱等,并且可以通過認證服務器的公鑰進行驗證,因此可以代表登錄的用戶身份�����。OIDC 通過 ID Token 來實現身份認證�,從而實現了單點登錄。1Hw28資訊網——每日最新資訊28at.com
備注:由于篇幅有限,本文對 OAuth 2.0 只做簡單介紹�����,如果感興趣的話�,可以移步阮一峰老師的 OAuth 2.0 介紹 ? 系列文章進一步了解協議的原理。1Hw28資訊網——每日最新資訊28at.com
Envoy Gateway OIDC 認證過程
Envoy Gateway 在最新版本中的安全策略中提供了 OIDC 的能力,可以通過 OIDC 來實現單點登錄。OIDC 標準支持通過 OAuth 2.0 中的 Authorization Code Flow,Implicit Flow,Hybrid Flow 三種方式來進行身份認證。Envoy Gateway 采用了其中最安全�,也是最常用的 Authorization Code Flow ?�����。下圖展示了 Envoy Gateway OIDC 的認證過程。1Hw28資訊網——每日最新資訊28at.com
圖片1Hw28資訊網——每日最新資訊28at.com
- ? 當用戶訪問一個需要進行 OIDC 認證的 HTTPRoute 時,Envoy Gateway 會檢查請求中是否有代表用戶身份的 ID Token��,如果沒有��,或者 Token 已經過期���,則會將請求重定向到 OIDC Provider 的認證頁面�。
- ? 用戶在 OIDC Provider 的認證頁面輸入用戶名和密碼等身份信息進行認證����。認證成功后,OIDC Provider 會將用戶重定向到 Envoy Gateway 的回調地址,并且帶上一個 Authorization Code�。
- ? Envoy Gateway 收到 OIDC Provider 的回調請求后��,會將 Authorization Code 發送給 OIDC Provider,OIDC Provider 根據 Authorization Code 生成一個 ID Token,并將 ID Token 返回給 Envoy Gateway��。
- ? Envoy Gateway 收到 ID Token 后����,會將 ID Token 保存在一個 Cookie 中,并將請求重定向到原來的 HTTPRoute��。
- ? 當用戶再次訪問該 HTTPRoute 時����,Envoy Gateway 會從 Cookie 中獲取 ID Token,驗證該 ID Token 合法��,并且未過期后,Envoy Gateway 會將請求轉發給后端服務����。
從圖中可以看到��,雖然 OIDC 單點登錄的過程比較復雜,但都是由 Envoy Gateway 來完成的。對于應用程序來說���,這個過程其實是無感知的���,應用程序無需修改任何代碼�,就可以實現單點登錄����。1Hw28資訊網——每日最新資訊28at.com
采用 Envoy Gateway 為應用實現單點登錄
采用 Envoy Gateway 可以簡化應用關于用戶登錄的實現�����,應用程序無需在代碼中實現和 OIDC Provicer 交互的相關邏輯�����,只需要在 Envoy Gateway 的安全策略中配置 OIDC 的相關參數,在十分鐘內可實現應用的 OIDC SSO����。下面我們通過一個例子來演示如何在 Envoy Gateway 中配置 OIDC��。1Hw28資訊網——每日最新資訊28at.com
配置 OIDC Provider
Envoy Gateway 支持所有實現了 OIDC 標準的 Identify Provider����,包括 Google、微軟�����、Auth0�、Okta、微信��、微博等等����。下面我們以 Google 賬戶登錄為例介紹如何為 Envoy Gateway 配置 OIDC SSO。1Hw28資訊網——每日最新資訊28at.com
首先需要參照 Google 的 OpenID Connect 文檔 ? Google Cloud Platform 中創建一個 OAuth Client ID����。1Hw28資訊網——每日最新資訊28at.com
打開 Google Cloud Console 的 Credentials 界面���,點擊 Create Credentials -> OAuth client ID�,然后選擇 Web application,輸入應用的名稱����,設置 Authorized redirect URLs 為 https://www.example.com/oauth2/callback,然后點擊 Create 按鈕創建 OAuth Client ID。1Hw28資訊網——每日最新資訊28at.com
圖片1Hw28資訊網——每日最新資訊28at.com
備注:Envoy Gateway 采用 %REQ(x-forwarded-proto)%://%REQ(:authority)%/oauth2/callback 作為默認的 OIDC 回調地址��,因此需要將 Authorized redirect URLs 設置為 https://www.example.com/oauth2/callback����。1Hw28資訊網——每日最新資訊28at.com
創建成功后,會彈出一個頁面顯示創建的 OAuth client 的信息,記錄下其中的 Client ID 和 Client Secret,這兩個值將會用于后面的 Envoy Gateway 安全策略配置中����。1Hw28資訊網——每日最新資訊28at.com
圖片1Hw28資訊網——每日最新資訊28at.com
配置 Envoy Gateway 安全策略
首先參照 Envoy Gateway Quickstart ? 安裝 Envoy Gateway 和例子程序����。根據 OIDC 規范的建議���,Envoy Gateway 要求配置 OIDC 的 Listener 采用 HTTPS 協議,因此前參照 Secure Gateway ?為 Envoy Gateway 配置 HTTPS�。1Hw28資訊網——每日最新資訊28at.com
創建一個 Kubernetes Secret���,用于存儲 OAuth Client 的 Client Secret��。1Hw28資訊網——每日最新資訊28at.com
注意將 ${CLIENT_SECRET} 替換為上面創建的 OAuth Client 的 Client Secret。1Hw28資訊網——每日最新資訊28at.com
$ kubectl create secret generic my-app-client-secret --from-literal=client-secret=${CLIENT_SECRET}secret "my-app-client-secret" created
然后在 Envoy Gateway 中配置 OIDC SSO����,首先需要在 Envoy Gateway 中配置一個安全策略�����,該安全策略用于配置 OIDC SSO 的相關參數。1Hw28資訊網——每日最新資訊28at.com
注意將 ${CLIENT_ID} 替換為上面創建的 OAuth Client 的 Client ID����。1Hw28資訊網——每日最新資訊28at.com
cat <<EOF | kubectl apply -f -apiVersion: gateway.envoyproxy.io/v1alpha1kind: SecurityPolicymetadata: name: oidc-examplespec: targetRef: group: gateway.networking.k8s.io kind: HTTPRoute name: backend oidc: provider: issuer: "https://accounts.google.com" clientID: "${CLIENT_ID}.apps.googleusercontent.com" clientSecret: name: "my-app-client-secret"EOF
上面短短十來行配置就會將 OIDC SSO 應用到名為 backend 的 HTTPRoute 上����。這樣���,當客戶端請求訪問該 HTTPRoute 時��,就會被重定向到 Google 頁面進行用戶驗證 。除了 HTTPRoute,Envoy Gateway 還支持將 SecurityPolicy 應用到 Gateway 上,只要將 targetRef 指向 Gateway 即可��。1Hw28資訊網——每日最新資訊28at.com
驗證單點登錄
如果集群有對外暴露的 LoadBalancer����,可以直接通過 LoadBalancer 的地址訪問 Envoy Gateway。如果集群沒有對外暴露的 LoadBalancer,可以通過 Port-Forward 的方式將 Gateway 的端口映射到本地,例如:1Hw28資訊網——每日最新資訊28at.com
export ENVOY_SERVICE=$(kubectl get svc -n envoy-gateway-system --selector=gateway.envoyproxy.io/owning-gateway-namespace=default,gateway.envoyproxy.io/owning-gateway-name=eg -o jsnotallow='{.items[0].metadata.name}')sudo kubectl -n envoy-gateway-system port-forward service/${ENVOY_SERVICE} 443:443
將 Envoy Gateway 的地址配置到 DNS 中,例如將 www.example.com 配置到 Envoy Gateway 的地址。1Hw28資訊網——每日最新資訊28at.com
127.0.0.1 www.example.com
首先在瀏覽器中訪問 Envoy Gateway 的地址�,例如 https://www.example.com��,Envoy Gateway 會根據 OIDC 的配置引導用戶進行登錄。瀏覽器會跳轉到 Google 的登錄頁面。1Hw28資訊網——每日最新資訊28at.com
圖片1Hw28資訊網——每日最新資訊28at.com
輸入 Google 賬戶的用戶名和密碼��,登錄成功后����,會跳轉到應用的首頁。1Hw28資訊網——每日最新資訊28at.com
圖片1Hw28資訊網——每日最新資訊28at.com
總結
單點登錄(SSO)簡化了用戶體驗,使用戶能夠在訪問多個應用時只需一次登錄�。但是�����,實現單點登錄并不容易,需要應用程序實現和認證服務器的交互邏輯,增加了應用程序的開發工作量���。Envoy Gateway 在最新版本中的安全策略中提供了 OpenID Connect (OIDC) 的能力,采用 Envoy Gateway 的安全策略,讓應用程序無需修改任何代碼即可輕松實現基于 OIDC 的單點登錄(SSO)�����。1Hw28資訊網——每日最新資訊28at.com
參考鏈接
- 1. OpenID Connect (OIDC) 1:https://openid.net/specs/openid-connect-core-1_0.html
- 2. OAuth 2.0 2:https://datatracker.ietf.org/doc/html/rfc6749
- 3. JSON Web Token (JWT)3:https://jwt.io
- 4. 阮一峰:OAuth 2.0 介紹?:https://www.ruanyifeng.com/blog/2019/04/oauth_design.html
- 5. Authorization Code Flow ? :https://datatracker.ietf.org/doc/html/rfc6749#section-4.1
- 6. Google OpenID Connect 文檔 ?:https://developers.google.com/identity/openid-connect/openid-connect
- 7. Envoy Gateway Quickstart ? :https://gateway.envoyproxy.io/latest/user/quickstart
- 8. Secure Gateway ?:https://gateway.envoyproxy.io/latest/user/secure-gateways
本文鏈接:http://www.www897cc.com/showinfo-26-42228-0.htmlEnvoy Gateway:十分鐘搞定單點登錄(SSO)�!
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系����,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 熱門的消息隊列框架比較����、使用方法��、優缺點,提供示例代碼
下一篇: 并發情況如何實現加鎖來保證數據一致性����?
津公網安備 12010102000574號