Fatal编程技术网
  • jwt/
  • KeyClope使用Istio和JWT提供无效签名

KeyClope使用Istio和JWT提供无效签名

jwt keycloak

KeyClope使用Istio和JWT提供无效签名,jwt,keycloak,istio,Jwt,Keycloak,Istio,我正在为Auth 2.0使用keydape(最新版本),以验证身份验证,提供令牌(JWT),并使用提供的令牌,允许根据权限访问应用程序URL。 Key斗篷目前正在Kubernates运行,Istio作为网关。对于KeyClope,这是正在使用的策略: apiVersion: authentication.istio.io/v1alpha1 kind: Policy metadata: name: application-auth-policy spec: targets: - nam

我正在为Auth 2.0使用keydape(最新版本),以验证身份验证,提供令牌(JWT),并使用提供的令牌,允许根据权限访问应用程序URL。 Key斗篷目前正在Kubernates运行,Istio作为网关。对于KeyClope,这是正在使用的策略:

apiVersion: authentication.istio.io/v1alpha1
kind: Policy
metadata:
  name: application-auth-policy
spec:
  targets:
  - name: notification
  origins:
  - jwt:
      issuer: http://<service_name>http.<namespace>.svc.cluster.local:8080/auth/realms/istio
      jwksUri: http://<service_name>http.<namespace>.svc.cluster.local:8080/auth/realms/istio/protocol/openid-connect/certs
  principalBinding: USE_ORIGIN
apiVersion:authentication.istio.io/v1alpha1 种类:政策 元数据: 名称:应用程序身份验证策略 规格: 目标: -名称:通知 起源: -jwt: 发行人:http://http..svc.cluster.local:8080/auth/realms/istio jwksUri:http://http..svc.cluster.local:8080/auth/realms/istio/protocol/openid-连接/证书 原则绑定:使用_原点 客户机已在此密钥斗篷中注册,并为此创建了RSA。 发卡机构可以正常生成令牌,策略已成功应用

问题:

  • 即使设置了所有内容,keybeave提供的令牌也会根据以下情况使签名无效

  • 这个令牌不允许对URL进行任何访问,应该是401代码

    • 其他人也有类似的问题吗?

    问题通过两个选项解决: 1.用外部服务器ip和外部端口替换服务名称和端口(针对发卡机构和jwksUri) 2.禁用MTL及其策略的使用(已知问题:)