Istio EnvoyFilter检查标题是否有效的令牌

时间:2020-08-25 10:30:51

标签: lua istio

我需要验证自定义标头是否提供了正确的值。如果没有,我想拒绝访问该服务并显示一条带有消息的401。

我已经能够为此创建一个Istio AuthorizationPolicy,但是它给了我403,这不是完全错误,但是我想正确并给出401。

到目前为止,这是我已经尝试过的方法,但不幸的是,这对我发送的请求没有任何影响(我既不是特使,也不是lua专家,请耐心等待):

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: custom-filter
  namespace: dev
spec:
  workloadSelector:
    labels:
      istio: ingressgateway
  configPatches:
  - applyTo: NETWORK_FILTER # http connection manager is a filter in Envoy
    match:
      context: GATEWAY
      listener:
        filterChain:
          filter:
            name: "envoy.http_connection_manager"
    patch:
      operation: MERGE
      value: # lua filter specification
        name: envoy.lua
        typed_config:
          "@type": "type.googleapis.com/envoy.config.filter.http.lua.v2.Lua"
          inlineCode: |
            function envoy_on_request(request_handle)
              if request_handle:headers():get("auth_token") != "xxx" then
                request_handle:respond({[":status"] = "401"}, "nope")                        
              end
            end

产生403的工作授权政策,我想在上面替换为:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-method-get
  namespace: dev
spec:
  selector:
    matchLabels:
      app: myapp
  action: DENY
  rules:
  - when:
    - key: request.headers[auth_token]
      notValues: ["xxx"]

1 个答案:

答案 0 :(得分:3)

据我所知,istio的回答是正确的:

根据RFC标准:

401(未经授权)状态码表示该请求尚未应用,因为它缺少针对目标资源的有效身份验证凭据...用户代理可以使用新的或替换的Authorization标头字段重复该请求。

403(禁止)状态代码表示服务器理解了请求但拒绝对其进行授权...如果请求中提供了身份验证凭据,则服务器认为它们不足以授予访问权限。

因此,您理解了带有令牌的请求,但该请求被禁止(403),但没有令牌的请求根本不提供凭据,因此未经授权。

关于过滤器:

将过滤器应用于HTTP_FILTER,而不是NETWORK_FILTER。并且应在其他任何过滤器之前应用它,因此将opteration设置为INSERT_BEFORE

更新

要将过滤器应用于单个吊舱而不是所有吊舱,请将上下文从GATEWAY更改为SIDECAR_INBOUND 并设置workloadSelector 

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: custom-filter
  namespace: dev
spec:
  workloadSelector:
    labels:
      app: my-app
  configPatches:
  - applyTo: HTTP_FILTER
    match:
      context: SIDECAR_INBOUND
      listener:
        filterChain:
          filter:
            name: "envoy.http_connection_manager"
            subFilter:
              name: "envoy.router"
    patch:
      operation: INSERT_BEFORE
      value: # lua filter specification
        name: envoy.lua
        typed_config:
          "@type": "type.googleapis.com/envoy.config.filter.http.lua.v2.Lua"
          inlineCode: |
            function envoy_on_request(request_handle)
              if request_handle:headers():get("auth_token") ~= "my_secret_token" then
                request_handle:respond({[":status"] = "401"}, "nope")                        
              end
            end
相关问题
最新问题