0 - 前言最近在开发过程中,有个业务需求是:在我们的平台 web 页面里嵌入一个在线编辑器(比如 vscode,jupyterlab 等) 。
在线编辑器,比较好搞定,网上有现成的开源组件可以实现 。
在 web 页面里嵌入在线编辑器,通过 iframe 载入在线编辑器的链接也可以实现,问题不大 。
但是,进一步的需求是:在线编辑器只允许通过我们平台的 web 页面进入,当在别的浏览器或者别的电脑上通过在线编辑器链接访问时,无法进入在线编辑器 。
这个需求是合理且必要的 。从安全的角度看,如果在线编辑器的链接在任何地方都可以访问进入,一旦该链接被泄露,那么所有获得该链接的人,都能直接访问其在线编辑器,对里面的内容进行操作,会存在严重的数据泄露、文件被恶意篡改等问题 。
1 - 方案对通过iframe嵌入的第三方应用的鉴权,大抵可以分为两个方向:
- 借助于第三方应用自带的鉴权系统,如通过账号密码或者token登录;
- 将第三方应用纳入到现有平台的鉴权体系里 。
- 兼容性不好:不同的第三方应用,鉴权方式不一样,有些是通过用户名密码登录(如 filebrowser),有些是只需要密码(如 vscode),还有些是通过token登录(如 jupyterlab),针对不同的第三方应用,配置起来有差异,花时间;
- 没有鉴权:如果某些第三方应用本身不自带鉴权,第一种方案就行不通了;
- 用户体验不好:在平台上的 web 端进入第三方应用,还需要再输入一遍密码,密码太多了,容易遗忘;
- 潜在安全问题:一旦第三方应用有漏洞,导致其鉴权被攻破,会直接影响到我们平台(参考 log4j)
先来看下系统架构:
文章插图
可以看到,第三方应用是以 pod 形式,通过 service 做负载均衡,利用 ingress 配置文件(这里是 nginx ingress)在 ingress controller 层对外部流量做内部转发 。
在 nginx ingress 的配置文件里,主要是对外部请求进行流量转发,通过配置 path 的正则表达转发到对应的 service 层 。同时,利用 nginx ingress 的注解,也可以实现一些额外的功能,详见链接 。
利用
nginx.ingress.kubernetes.io/auth-url 可以实现外部鉴权,将外部请求先转发到指定的鉴权接口:
鉴权通过后,再转发到对应的 service 层;
鉴权失败,则转发到
nginx.ingress.kubernetes.io/auth-signin 进行登录操作 。
以上加黑部分是这个方案实现的理论基础 。不过,要实现这个功能,还需要解决:
- 开发一个鉴权接口,用于对访问第三方应用的请求进行鉴权过滤;
- 如何传递鉴权所需要的信息给到鉴权接口
2 - 实现下面是一个简单的 demo 实现 。
首先,配置 ingress:
apiVersion: networking.k8s.io/v1kind: Ingressmetadata:annotations:kubernetes.io/ingress.class: nginxnginx.ingress.kubernetes.io/auth-signin: http://open.domain.com/loginnginx.ingress.kubernetes.io/auth-url: http://{auth_service}.{namespace}.svc.cluster.local/api/v1/authnamespace: openmmlabspec:rules:- host: open.domain.comhttp:paths:- backend:service:name: {auth_serivce}port:number: {service_port}path: /{path}/vscode(/|$)(.*)pathType: Prefix
- 厨房吊轨推拉门该如何选?厨房门的装修方案中的选门攻略
- 改变自己虚荣心理的解决方案 什么叫虚荣心理
- 淘宝宝贝快速上首页优化方案
- 摄影营销网站模板 营销方案怎么写模板
- 网站机房服务器升级方案 机房施工方案
- 护肤品广告策划书 护肤品广告推广方案
- 网站建设方案书例子 网站规划书及内容模板
- 夏天拍摄方案技巧 夏季25个清新创意摄影主题
- 网络教育网站建设方案 网站建设
- 讲讲关于补脑的事儿 先容6种食疗方案
特别声明:本站内容均来自网友提供或互联网,仅供参考,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。