云原生最佳实践系列 6:MSE 云原生网关使用 JWT 进行认证鉴权

01 方案概述

MSE 网关可以为后端服务提供转发路由能力,在此基础上,一些敏感的后端服务需要特定认证授权的用户才能够访问。MSE 云原生网关致力于提供给云上用户体系化的安全解决方案,其中 JWT 认证能力是在 Json Web Token 这种结构化令牌的基础上实现了一套基于用户体系对用户的 API(服务)进行授权访问的机制,满足用户个性化安全设置的需求。本最佳实践方案就是介绍如何在 MSE 网关中集成 JWT 进行全局认证鉴权的配置。

方案示意图如下所示:

02 应用场景

借助 CADT 迅速的搭建 MSE 网关以及 SAE 实例,并部署测试应用(jwt-demo),在MSE 网关上配置对应的测试路由(/login、/biz),并配置 JWT 的全局认证鉴权功能,通过 postman 进行模拟测试。

主要步骤:

1. 通过 CADT 快速完成环境部署

2. 通过工具栏生成 JWT 所需的公钥、私钥

3. SAE 上部署测试应用 jwt-demo

4. MSE 上配置后端服务及路由,并配置 JWT 的全局认证鉴权

5. 通过 postman 工具发起模拟测试请求,验证功能是否符合预期

6. 测试结束释放环境

03 部署架构

架构说明:

本方案涉及的云产品包括一个 MSE 实例(前面挂公网 NLB)、一个私网 CLB、一个部署在 SAE 中的测试应用。

04 产品介绍

专有网络 VPC(Virtual Private Cloud):是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如 ECS、负载均衡、RDS 等。

传统型负载均衡 CLB(Classic Load Balancer):支持 TCP、UDP、HTTP 和 HTTPS 协议,具备良好的四层处理能力,以及基础的七层处理能力。

云原生网关 MSE(Microservices Engine):MSE 云原生网关是兼容 K8s Ingress标准的下一代网关产品,将传统的流量网关和微服务网关功能合并,降低 50%资源开销,支持 ACK 容器服务和 Nacos 等多种服务发现方式,支持多种认证登录方式快速构建安全防线。

Serverless 应用引擎 SAE(Serverless App Engine):是一款零代码改造、极简易用、自适应弹性的应用全托管平台。SAE 能够让您免运维 IaaS 和 K8s,秒级完成从源代码、代码包、Docker 镜像部署任意语言的在线应用(例如 Web、微服务、Job 任务)到 SAE,并自动伸缩实例按使用量计费,开箱即用日志、监控、负载均衡等配套能力。

云速搭 CADT(Cloud Architect Design Tools):是一款为上云应用提供自助式云架构管理的产品,显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。

05 前置条件

在进行本文操作之前,您需要完成以下准备工作:

1)注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证页面https://account.console.aliyun.com/v2/#/authc/home查看是否完成实名认证。

2)购买按量付费资源,阿里云账户余额需要大于 100 元。考虑到部署后每小时会产生费用,建议账号内余额或者代金券金额大于 200 元。您可以登录阿里云控制台,前往账户总览页面https://usercenter2.aliyun.com/home查看账户余额。

06 操作步骤

本实践可通过 CADT 官方模板快速拉起演示环境。

1. CADT 基础环境搭建

2. 工具生成公钥、私钥、JWKS

2.1. 生成公私钥

2.2. 生成 JWKS

3. SAE 部署应用

3.1. SAE 中通过应用环境变量设置公钥、私钥

3.2. SAE 中添加私网 CLB

4. MSE 网关配置及测试验证

4.1. 配置 jwt-demo 后端服务

4.2. 配置路由并测试验证

4.3. 配置全局认证鉴权并测试验证

5. 其他说明

6. 一键释放资源

原文链接

本文为阿里云原创内容,未经允许不得转载。

posted @ 2024-04-29 15:41  阿里云云栖号  阅读(36)  评论(0编辑  收藏  举报