网站首页 > 技术教程 正文
0 - 前言
最近在开发过程中,有个业务需求是:在我们的平台 web 页面里嵌入一个在线编辑器(比如 vscode,jupyterlab 等)。
在线编辑器,比较好搞定,网上有现成的开源组件可以实现。
在 web 页面里嵌入在线编辑器,通过 iframe 载入在线编辑器的链接也可以实现,问题不大。
但是,进一步的需求是:在线编辑器只允许通过我们平台的 web 页面进入,当在别的浏览器或者别的电脑上通过在线编辑器链接访问时,无法进入在线编辑器。
这个需求是合理且必要的。从安全的角度看,如果在线编辑器的链接在任何地方都可以访问进入,一旦该链接被泄露,那么所有获得该链接的人,都能直接访问其在线编辑器,对里面的内容进行操作,会存在严重的数据泄露、文件被恶意篡改等问题。
1 - 方案
对通过iframe嵌入的第三方应用的鉴权,大抵可以分为两个方向:
- 借助于第三方应用自带的鉴权系统,如通过账号密码或者token登录;
- 将第三方应用纳入到现有平台的鉴权体系里。
第一种方案,是最容易想到且比较容易实现的。只需要借助第三方应用的自定义配置文件,即可完成鉴权功能。但是该方案有一定的缺点:
- 兼容性不好:不同的第三方应用,鉴权方式不一样,有些是通过用户名密码登录(如 filebrowser),有些是只需要密码(如 vscode),还有些是通过token登录(如 jupyterlab),针对不同的第三方应用,配置起来有差异,花时间;
- 没有鉴权:如果某些第三方应用本身不自带鉴权,第一种方案就行不通了;
- 用户体验不好:在平台上的 web 端进入第三方应用,还需要再输入一遍密码,密码太多了,容易遗忘;
- 潜在安全问题:一旦第三方应用有漏洞,导致其鉴权被攻破,会直接影响到我们平台(参考 log4j)
鉴于第一种方案的种种不合适,所以需要采用第二种鉴权方案。那么如何实现呢?
先来看下系统架构:
可以看到,第三方应用是以 pod 形式,通过 service 做负载均衡,利用 ingress 配置文件(这里是 nginx ingress)在 ingress controller 层对外部流量做内部转发。
在 nginx ingress 的配置文件里,主要是对外部请求进行流量转发,通过配置 path 的正则表达转发到对应的 service 层。同时,利用 nginx ingress 的注解,也可以实现一些额外的功能,详见链接。
利用 nginx.ingress.kubernetes.io/auth-url 可以实现外部鉴权,将外部请求先转发到指定的鉴权接口:
鉴权通过后,再转发到对应的 service 层;
鉴权失败,则转发到 nginx.ingress.kubernetes.io/auth-signin 进行登录操作。
以上加黑部分是这个方案实现的理论基础。不过,要实现这个功能,还需要解决:
- 开发一个鉴权接口,用于对访问第三方应用的请求进行鉴权过滤;
- 如何传递鉴权所需要的信息给到鉴权接口
针对第一个问题,可以在 Kubernetes 集群中新开一个鉴权服务,提供鉴权接口。第二个问题,由于第三方应用的访问 URL 和平台的 URL 同源,cookie 共享,所以鉴权信息可以通过 cookie 传递到鉴权接口。
2 - 实现
下面是一个简单的 demo 实现。
首先,配置 ingress:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/auth-signin: http://open.domain.com/login
nginx.ingress.kubernetes.io/auth-url: http://{auth_service}.{namespace}.svc.cluster.local/api/v1/auth
namespace: openmmlab
spec:
rules:
- host: open.domain.com
http:
paths:
- backend:
service:
name: {auth_serivce}
port:
number: {service_port}
path: /{path}/vscode(/|$)(.*)
pathType: Prefix
然后,编写鉴权接口 ( springboot ):
@GetMapping("/api/v1/auth")
public void auth(HttpServletRequest request, HttpServletResponse response) {
Cookie[] cookies = request.getCookies();
log.info("nginx called auth api!, cookies:{}", cookies);
if (cookies == null) {
response.setStatus(401);
return;
}
for (Cookie cookie : cookies) {
// 编写具体的鉴权逻辑,这里只是简单的判断cookie中是否携带了token字段,若有,则直接返回http response 200,反之返回 401
if (cookie.getName().equals("token")) {
response.setStatus(200);
return;
}
}
response.setStatus(401);
}
当 http://{auth_service}.{namespace}.svc.cluster.local/api/v1/auth 接口返回的 http 状态码是 401 时, 会自动调用 nginx.ingress.kubernetes.io/auth-signin 的地址,也就是 http://open.domain.com/login 来进行登录鉴权。
这样就实现了将第三方应用纳入到现有平台的鉴权体系里,从而无需借助于第三方应用自带的鉴权功能。
以上。
猜你喜欢
- 2024-10-17 知了汇智《XSS攻击-盗取cookie实战》课程文档讲解
- 2024-10-17 nginx反向代理配置(nginx反向代理配置api接口)
- 2024-10-17 清除Cookies头解决Nginx 431 Request Header Too Large错误
- 2024-10-17 开发2年面试字节Java岗面经分享:算法+网络+Redis+爬虫+高并发
- 2024-10-17 系统架构设计:平滑发布和ABTesting
- 2024-10-17 nginx如何实现灰度发布(nginx如何实现灰度发布数据)
- 2024-10-17 前端优化:几个技巧,提高 Web 性能
- 2024-10-17 前后端分离时cookie写入的问题你遇到过吗
- 2024-10-17 基于hi-nginx的web开发(python篇)——cookie和会话管理
- 2024-10-17 使用 Nginx 实现灰度发布(nginx lua 灰度发布)
欢迎 你 发表评论:
- 最近发表
-
- linux CentOS检查见后门程序的shell
- 网络安全工程师演示:黑客是如何使用Nmap网络扫描工具的?
- Linux中ftp服务修改默认21端口等(linux修改ftp配置文件)
- Linux系统下使用Iptables配置端口转发,运维实战收藏!
- 谈谈TCP和UDP源端口的确定(tcp和udp的端口号相同吗)
- Linux 系统 通过端口号找到对应的服务及相应安装位置
- 快速查找NAS未占用端口!Docker端口秒级排查+可视化占坑双杀技
- 【知识杂谈#2】如何查看Linux的(本地与公网)IP地址与SSH端口号
- 如何在Linux中查询 DNS 记录,这三个命令可谓是最常用、最经典的
- 【Linux系统编程】特殊进程之守护进程
- 标签列表
-
- 下划线是什么 (87)
- 精美网站 (58)
- qq登录界面 (90)
- nginx 命令 (82)
- nginx .http (73)
- nginx lua (70)
- nginx 重定向 (68)
- Nginx超时 (65)
- nginx 监控 (57)
- odbc (59)
- rar密码破解工具 (62)
- annotation (71)
- 红黑树 (57)
- 智力题 (62)
- php空间申请 (61)
- 按键精灵 注册码 (69)
- 软件测试报告 (59)
- ntcreatefile (64)
- 闪动文字 (56)
- guid (66)
- abap (63)
- mpeg 2 (65)
- column (63)
- dreamweaver教程 (57)
- excel行列转换 (56)
本文暂时没有评论,来添加一个吧(●'◡'●)