ProHoster > Blog > Administrasi > Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Leres, saatos dileupaskeun Konsul Hashicorp 1.5.0 dina awal Méi 2019, di Konsul anjeun tiasa otorisasi aplikasi sareng jasa anu dijalankeun dina Kubernetes asli.

Dina tutorial ieu urang bakal nyieun step by step POC (Bukti konsép, PoC) nunjukkeun fitur anyar ieu. Anjeun diharepkeun gaduh pangaweruh dasar ngeunaan Kubernetes sareng Konsul Hashicorp. Nalika anjeun tiasa nganggo platform awan atanapi lingkungan di tempat, dina tutorial ieu kami bakal nganggo Platform Awan Google.

gambaran

Lamun urang buka Dokuméntasi konsul ngeunaan metode otorisasina, urang bakal meunang gambaran gancang ngeunaan tujuanana jeung kasus pamakéan, kitu ogé sababaraha rinci teknis jeung gambaran umum logika. Kuring nyarankeun pisan maca éta sahenteuna sakali sateuacan neraskeun, sabab kuring ayeuna bakal ngajelaskeun sareng nyapek sadayana.

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Diagram 1: Tinjauan resmi ngeunaan métode otorisasina Konsul

Hayu urang tingali dokuméntasi pikeun métode otorisasina Kubernetes husus.

Pasti, aya inpormasi anu mangpaat di dinya, tapi henteu aya pituduh ngeunaan cara ngagunakeun éta sadayana. Janten, sapertos jalma anu waras, anjeun ngajalajah Internét pikeun pituduh. Terus... Anjeun gagal. Eta kajadian. Hayu urang ngalereskeun ieu.

Sateuacan urang teraskeun kana nyieun POC urang, hayu urang balik deui ka tinjauan metode otorisasi Konsul (Diagram 1) sareng nyaring dina konteks Kubernetes.

gawena undagi

Dina tutorial ieu, urang bakal nyieun server Konsul dina mesin misah anu bakal komunikasi sareng klaster Kubernetes jeung klien Konsul dipasang. Urang lajeng bakal nyieun aplikasi dummy kami dina pod jeung ngagunakeun métode otorisasina ngonpigurasi kami pikeun maca tina konci Konsul / toko nilai kami.

Diagram di handap ngajéntrékeun arsitéktur anu urang ciptakeun dina tutorial ieu, ogé logika di balik metode otorisasina, anu bakal dijelaskeun engké.

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Diagram 2: Ihtisar Métode Otorisasi Kubernetes

Catetan gancang: server Konsul teu kudu cicing di luar klaster Kubernetes pikeun ieu jalan. Tapi enya, anjeunna tiasa ngalakukeun ieu sareng éta.

Janten, nyandak diagram Tinjauan Konsul (Diagram 1) sareng nerapkeun Kubernetes ka dinya, urang kéngingkeun diagram di luhur (Diagram 2), sareng logika di dieu nyaéta kieu:

  1. Unggal pod bakal gaduh akun jasa napel na ngandung token JWT dihasilkeun sarta dipikawanoh ku Kubernetes. Token ieu ogé diselapkeun kana pod sacara standar.
  2. Aplikasi atanapi jasa kami di jero pod ngamimitian paréntah login ka klien Konsul kami. Paménta login ogé bakal kalebet token sareng nami kami husus dijieun métode otorisasina (tipe Kubernetes). hambalan ieu # 2 pakait jeung hambalan 1 diagram Konsul (Skéma 1).
  3. Klién Konsul kami teras bakal neraskeun pamundut ieu ka server Konsul kami.
  4. MAGIC! Ieu dimana server Konsul verifies kaaslian pamundut teh, ngumpulkeun informasi ngeunaan identitas pamundut na compares eta kalawan sagala aturan nu tos siap pake. Di handap ieu diagram sejen pikeun ngagambarkeun ieu. Léngkah ieu pakait sareng léngkah 3, 4 sareng 5 tina diagram tinjauan Konsul (Diagram 1).
  5. Server Konsul kami ngahasilkeun token Konsul kalayan idin numutkeun aturan metode otorisasi anu kami khusus (anu kami parantos diartikeun) ngeunaan identitas panyuhun. Ieu lajeng bakal ngirim token éta deui. Ieu pakait jeung lengkah 6 tina diagram Konsul (Diagram 1).
  6. Klién Konsul kami neraskeun token ka aplikasi atanapi jasa anu dipénta.

Aplikasi atanapi jasa kami ayeuna tiasa nganggo token Konsul ieu pikeun komunikasi sareng data Konsul kami, sakumaha anu ditangtukeun ku hak istimewa token.

Sihirna diungkabkeun!

Pikeun anjeun anu henteu resep ngan ukur kelenci kaluar tina topi sareng hoyong terang kumaha jalanna ... hayu atuh "tunjukkeun ka anjeun kumaha jerona. liang kelenci".

Sakumaha didadarkeun di saméméhna, hambalan "magic" urang (Gambar 2: Lengkah 4) dimana server Konsul authenticates pamundut nu, ngumpulkeun informasi ngeunaan pamundut, sarta ngabandingkeun kana sagala aturan nu tos siap pake. Léngkah ieu pakait sareng léngkah 3, 4 sareng 5 tina diagram tinjauan Konsul (Diagram 1). Di handap ieu diagram (Diagram 3), tujuanana pikeun jelas nunjukkeun naon anu sabenerna lumangsung handapeun tiung métode otorisasina Kubernetes husus.

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Diagram 3: Sihirna diungkabkeun!

  1. Salaku titik awal, klien Konsul kami neraskeun pamundut login ka server Konsul kami nganggo token akun Kubernetes sareng nami conto khusus tina metode otorisasi anu didamel sateuacana. Lengkah ieu pakait jeung lengkah 3 dina katerangan sirkuit saméméhna.
  2. Ayeuna server Konsul (atanapi pamimpin) kedah pariksa kaaslian token anu ditampi. Ku alatan éta, éta bakal konsultasi klaster Kubernetes (via klien Konsul) jeung, kalawan idin luyu, urang bakal manggihan naha token téh asli jeung saha eta milik.
  3. Paménta anu disahkeun teras dipulangkeun ka pamimpin Konsul, sareng pangladén Konsul milarian conto metode otorisasi kalayan nami anu ditangtukeun tina pamundut login (sareng jinis Kubernetes).
  4. Pamimpin konsul ngaidentipikasi conto metode otorisasi anu ditangtukeun (upami kapendak) sareng maca set aturan anu ngariung anu napel na. Éta teras maca aturan ieu sareng ngabandingkeunana kana atribut identitas anu diverifikasi.
  5. TA-dah! Hayu urang ngaléngkah ka lengkah 5 dina katerangan sirkuit saméméhna.

Ngajalankeun Konsul-server dina mesin virtual biasa

Ti ayeuna, kuring lolobana bakal mere parentah ngeunaan cara nyieun POC ieu, mindeng dina titik bullet, tanpa katerangan kalimah lengkep. Ogé, sakumaha anu kacatet sateuacana, kuring bakal nganggo GCP pikeun nyiptakeun sadaya infrastruktur, tapi anjeun tiasa nyiptakeun infrastruktur anu sami di tempat sanés.

  • Mimitian mesin virtual (contona / server).

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

  • Jieun aturan pikeun firewall (grup kaamanan di AWS):
  • Kuring resep napelkeun nami mesin sarua duanana aturan jeung tag jaringan, dina hal ieu "skywiz-consul-server-poc".
  • Milarian alamat IP komputer lokal anjeun sareng tambahkeun kana daptar alamat IP sumber supados urang tiasa ngaksés antarmuka pangguna (UI).
  • Buka port 8500 pikeun UI. Klik Jieun. Urang bakal ngarobah firewall ieu deui geura-giru [link].
  • Tambihkeun aturan firewall kana conto. Balik deui ka dasbor VM dina Konsul Server sareng tambahkeun "skywiz-consul-server-poc" kana médan tag jaringan. Pencét Simpen.

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

  • Pasang Konsul dina mesin virtual, pariksa di dieu. Émut yén anjeun peryogi versi Konsul ≥ 1.5 [link]
  • Hayu urang ngadamel konsul titik tunggal - konfigurasina kieu.

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

  • Pikeun pituduh anu langkung lengkep ihwal masang Konsul sareng nyetél klaster 3 titik, tingali di dieu.
  • Jieun file /etc/consul.d/agent.json saperti kieu [link]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

  • Mimitian server Konsul kami:

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

  • Anjeun kedah ningali sakumpulan kaluaran sareng ditungtungan ku "... update diblokir ku ACLs."
  • Manggihan alamat IP éksternal tina server Konsul tur muka browser kalawan alamat IP ieu dina port 8500. Pastikeun yén UI muka.
  • Coba tambahkeun pasangan konci/nilai. Pasti aya kalepatan. Ieu kusabab urang dimuat server Konsul kalawan ACL sarta ditumpurkeun sagala aturan.
  • Balik deui ka cangkang anjeun dina server Konsul sareng ngamimitian prosés di latar tukang atanapi sababaraha cara sanés pikeun ngajalankeun sareng lebetkeun ieu:

consul acl bootstrap

  • Milarian nilai "SecretID" sareng uih deui ka UI. Dina tab ACL, asupkeun ID rusiah tina token anjeun ngan ditiron. Salin SecretID ka tempat anu sanés, urang peryogi éta engké.
  • Ayeuna tambahkeun pasangan konci / nilai. Pikeun POC ieu, tambahkeun ieu: konci: "custom-ns/test_key", nilai: "Kuring dina folder custom-ns!"

Ngaluncurkeun klaster Kubernetes pikeun aplikasi kami sareng klien Konsul salaku Daemonset

  • Jieun K8s (Kubernetes) klaster. Kami bakal nyiptakeunana dina zona anu sami sareng server pikeun aksés anu langkung gancang, sareng urang tiasa nganggo subnet anu sami pikeun gampang nyambung sareng alamat IP internal. Kami bakal nyebatna "skywiz-app-with-consul-client-poc".

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

  • Salaku catetan samping, ieu mangrupa tutorial alus kuring datang di sakuliah bari nyetel hiji Kluster POC Konsul kalawan Konsul Connect.
  • Urang ogé bakal ngagunakeun bagan Helm Hashicorp sareng file nilai anu diperpanjang.
  • Masang sareng ngonpigurasikeun Helm. Léngkah-léngkah konfigurasi:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

  • Larapkeun bagan helm:

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

  • Nalika éta nyobian ngajalankeun, éta peryogi idin pikeun server Konsul, janten hayu urang tambahkeun.
  • Catet "Rentang Alamat Pod" anu aya dina dasbor klaster sareng tingal deui kana aturan firewall "skywiz-consul-server-poc" kami.
  • Tambihkeun rentang alamat pikeun pod kana daptar alamat IP sareng buka palabuhan 8301 sareng 8300.

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

  • Pindah ka Konsul UI sareng saatos sababaraha menit anjeun bakal ningali klaster kami muncul dina tab titik.

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Ngonpigurasikeun Métode Otorisasi ku Ngahijikeun Konsul sareng Kubernetes

  • Balik deui ka cangkang server Konsul sareng ékspor token anu anjeun simpen sateuacana:

export CONSUL_HTTP_TOKEN=<SecretID>

  • Kami peryogi inpormasi tina klaster Kubernetes kami pikeun nyiptakeun conto metode auth:
  • kubernetes-host

kubectl get endpoints | grep kubernetes

  • kubernetes-service-account-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

  • Tokenna disandi base64, janten ngadekripna nganggo alat karesep anjeun [link]
  • kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

  • Candak sertipikat "ca.crt" (sanggeus base64 decoding) jeung nulis kana file "ca.crt".
  • Ayeuna instantiate metode auth, ngagentos pananda tempat ku nilai anu anjeun katampi.

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

  • Salajengna urang kudu nyieun aturan jeung ngagantelkeun kana peran anyar. Pikeun bagian ieu anjeun tiasa nganggo Konsul UI, tapi kami bakal nganggo garis paréntah.
  • Tulis aturan

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

  • Larapkeun aturan

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

  • Manggihan ID tina aturan nu kakarék dijieun tina kaluaran.
  • Jieun peran jeung aturan anyar.

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

Konfigurasi pamungkas

Hak aksés

  • Jieun hak aksés. Urang kedah masihan idin Konsul pikeun pariksa sareng ngaidentipikasi identitas token akun jasa K8s.
  • Tulis di handap kana file [link]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

  • Hayu urang nyieun hak aksés

kubectl create -f skywiz-poc-consul-server_rbac.yaml

Nyambungkeun ka Konsul klien

  • Salaku nyatet di dieuAya sababaraha pilihan pikeun nyambungkeun ka daemonset, tapi urang bakal ngaléngkah ka solusi saderhana ieu:
  • Larapkeun file di handap ieu [link].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

  • Teras nganggo paréntah anu diwangun di handap ieu pikeun nyiptakeun configmap [link]. Punten dicatet yén kami ngarujuk kana nami jasa kami, ganti upami diperyogikeun.

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

Nguji métode auth

Ayeuna hayu urang tingali sihir dina aksi!

  • Jieun sababaraha polder konci deui sareng konci tingkat luhur anu sami (nyaéta. / sample_key) sareng nilai pilihan anjeun. Jieun kawijakan jeung kalungguhan luyu pikeun jalur konci anyar. Engke urang ngariung.

Bubuka pikeun Otorisasi Kubernetes Konsul Hashicorp

Uji ruang ngaran khusus:

  • Hayu urang nyieun ngaranspasi sorangan:

kubectl create namespace custom-ns

  • Hayu urang nyieun pod di namespace anyar urang. Tulis konfigurasi pikeun pod.

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

  • Jieun handapeun:

kubectl create -f poc-ubuntu-custom-ns.yaml

  • Sakali wadahna jalan, angkat ka dinya sareng pasang curl.

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

  • Ayeuna kami bakal ngirim pamundut login ka Konsul nganggo metode otorisasi anu kami jieun saméméhna [link].
  • Pikeun ningali token anu diasupkeun tina akun jasa anjeun:

cat /run/secrets/kubernetes.io/serviceaccount/token

  • Tulis di handap ieu kana file di jero wadahna:

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

  • Lebet!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

  • Pikeun ngalengkepan léngkah-léngkah di luhur dina hiji baris (sabab urang bakal ngajalankeun sababaraha tés), anjeun tiasa ngalakukeun ieu:

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

  • Gawé! Sahenteuna sakuduna. Ayeuna cokot SecretID sareng cobian ngaksés konci / nilai anu kedah urang aksés.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

  • Anjeun tiasa base64 decode "Nilai" tur tingal yen eta cocog nilai di custom-ns / test_key di UI. Upami anjeun nganggo nilai anu sami di luhur dina tutorial ieu, nilai anu disandikeun anjeun bakal IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi.

Uji akun layanan pangguna:

  • Jieun ServiceAccount khusus nganggo paréntah di handap ieu [link].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

  • Jieun file konfigurasi anyar pikeun pod. Punten dicatet yén kuring kalebet pamasangan curl pikeun ngahémat tenaga kerja :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

  • Sanggeus éta, ngajalankeun cangkang jero wadahna.

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

  • Lebet!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

  • Widi ditolak. Oh, urang hilap nambihan aturan anyar anu mengikat sareng idin anu pas, hayu urang lakukeun ayeuna.

Ngulang léngkah saméméhna di luhur:
a) Jieun kawijakan idéntik pikeun awalan "custom-sa/".
b) Jieun Peran, sebutna "custom-sa-role"
c) Gantelkeun Kawijakan kana Peran.

  • Jieun Aturan-Binding (ngan mungkin tina cli / api). Perhatikeun harti béda tina bandéra pamilih.

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

  • Lebet deui tina wadahna "poc-ubuntu-custom-sa". Sukses!
  • Pariksa aksés kami ka custom-sa/ jalur konci.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

  • Anjeun oge bisa mastikeun yén token ieu teu masihan aksés ka kv dina "custom-ns /". Ngan malikan paréntah di luhur saatos ngagentos "custom-sa" sareng awalan "custom-ns".
    Widi ditolak.

conto overlay:

  • Perlu dicatet yén sadaya pemetaan anu ngariung aturan bakal ditambah kana token kalayan hak-hak ieu.
  • Wadah kami "poc-ubuntu-custom-sa" aya dina rohangan ngaran standar - janten hayu urang nganggo éta pikeun ngariung aturan anu béda.
  • Ulang léngkah saméméhna:
    a) Jieun kawijakan idéntik pikeun awalan konci "standar/".
    b) Jieun Peran, ngaranna "default-ns-role"
    c) Gantelkeun Kawijakan kana Peran.
  • Jieun Aturan-Binding (ngan mungkin tina cli/api)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

  • Balik deui ka wadahna "poc-ubuntu-custom-sa" kami sareng cobian ngaksés jalur kv "standar/".
  • Widi ditolak.
    Anjeun tiasa ningali kredensial anu ditangtukeun pikeun tiap token dina UI handapeun ACL> Token. Sakumaha anjeun tiasa tingali, token urang ayeuna ngan boga hiji "custom-sa-peran" napel na. Token anu ayeuna kami anggo dibangkitkeun nalika kami asup sareng ngan ukur aya hiji aturan anu ngariung anu cocog sareng éta. Urang kedah login deui sareng nganggo token énggal.
  • Pastikeun anjeun tiasa maca tina "custom-sa/" sareng "standar/" jalur kv.
    Ayaan!
    Ieu kusabab "poc-ubuntu-custom-sa" kami cocog sareng beungkeutan aturan "custom-sa" sareng "standar-ns".

kacindekan

Token TTL mgmt?

Dina waktu tulisan ieu, teu aya cara terpadu pikeun nangtukeun TTL pikeun tokens dihasilkeun ku métode otorisasina ieu. Éta bakal janten kasempetan anu saé pikeun nyayogikeun otomatisasi otorisasi Konsul.

Aya pilihan pikeun ngadamel token sacara manual nganggo TTL:

Muga dina mangsa nu bakal datang urang bakal bisa ngadalikeun kumaha tokens dihasilkeun (per aturan atawa métode otorisasina) jeung nambahkeun TTL.

Dugi ka waktos éta, disarankeun yén anjeun nganggo titik tungtung logout dina logika anjeun.

Baca ogé artikel séjén dina blog urang:

sumber: www.habr.com

Tambahkeun komentar