与Istio最终用户身份验证相对应的文档指出
如果未设置jwksUri,请确保JWT发行者为url格式,并且url + /。众所周知/ openid-configuration可以在浏览器中打开,
我想构建一个JWT服务器来满足Istio的这一要求,并且可以用作我基于微服务的体系结构的集中式身份验证服务器(SSO)。
简单地说,我想创建一个可以与Istio一起使用的集中式JWT发行者,请参考一些我可以用来实现相同目的的资源。
您也可以参考下面的链接以对我的要求有所了解
Central JWT authentication / authorization service
我只想知道如何通过按照Istio最终用户身份验证文档中所述通过 jwksUri 来创建可与Istio一起使用的JWT Issuer
例子
jwksUri: "https://www.googleapis.com/service_accounts/v1/jwk/628645741881-noabiu23f5a8m8ovd8ucv698lj78vv0l@developer.gserviceaccount.com"
答案 0 :(得分:2)
要自行创建集中式身份验证服务器,是一个漫长且容易出错的过程,可以通过使用开源解决方案(例如Keycloak或IdentityServer)来避免。
在RedHat Istio Tutorial中可以找到将KeyCloak与Istio结合使用的示例。
您还可以将身份验证即服务用作Auth0,Okta,Azure B2C等服务,并且所有这些都是OpenId Connect Conformant(list of conformant services)