文章图片
Authing 应用集成网关赋予老旧应用快速集成 Authing 身份云产品的能力。在扩充身份认证方式的同时,保护原有系统资源免受非法侵害。
通过 Authing 集成 Traefik(一个开源的可以使得服务发布变得轻松有趣的边缘路由器)实现单点登录,解决身份管理混乱,节省企业用户数据跨应用管理成本和信息维护成本。01 项目介绍 关于 Authing
Authing 是国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,为企业和开发者提供完善安全的用户认证和访问管理服务。以「API First」作为产品基石,把身份领域所有常用功能都进行了模块化的封装,通过全场景编程语言 SDK 将所有能力 API 化提供给开发者。同时,用户可以灵活地使用 Authing 开放的 RESTful APIs 进行功能拓展,满足不同企业不同业务场景下的身份管理需求。
关于 Traefik
Traefik 是一个开源的可以使得服务发布变得轻松有趣的边缘路由器。它负责接收你系统的请求,然后使用合适的组件来对这些请求进行处理。
除了众多功能之外,Traefik 与众不同之处还在于它会自动发现适合你服务的配置。当 Traefik 在检查你的服务时,会找到服务的相关信息并找到合适的服务来满足对应的请求。
Traefik 兼容所有主流的集群技术,比如 Kubernetes,Docker,Docker Swarm,AWS,Mesos,Marathon 等等;并且可以同时处理多种方式(甚至可以用于在裸机上运行的比较旧的软件)。
使用 Traefik,不需要维护或者同步一个独立的配置文件:因为一切都会自动配置,实时操作的(无需重新启动,不会中断连接)。使用 Traefik,你可以花更多的时间在系统的开发和新功能上面,而不是在配置和维护工作状态上面花费大量时间。
02 什么是集中式身份认证? 传统身份认证
在传统认证模式下,各个后端应用服务需要单独开发功能以支持身份认证功能,例如与身份提供商进行交互、获取用户的身份信息等功能。
集中式身份认证
文章图片
与传统认证模式不同,集中身份认证模式把用户认证从应用服务中抽离了出来。
以 Traefik 为例,集中认证的流程如上图所示:首先由用户发起请求(request),然后由前置的网关负责用户认证流程,与身份提供方对接,向身份提供方发送身份认证(authorization)请求。身份提供方返回用户身份信息(user info)。网关完成用户身份识别后,将用户身份信息通过请求头的形式转发至后端应用。
集中式身份认证管理的优点
相比较传统认证模式,集中认证模式下有如下优点:
- 简化应用开发流程,降低开发应用工作量和维护成本,避免各个应用重复开发身份认证逻辑。
- 提高业务的安全性,集中身份认证模式在网关层面能够及时拦截未经身份认证的请求,保护后端的应用。
- 通过控制台对身份认证服务进行生命周期管理,包括创建、启用、禁用等。
- 提供实时、可视化的应用监控,包括:接口请求次数、接口调用延迟和接口错误信息,并且进行实时告警通知。
- 集中式日志,可以方便地查看用户登录、登出以及对应用的调整和修改信息。
- 单击“创建”,创建一个 Authing 应用。
文章图片
- 设置登录 URL 和应用名称,下边以 traefik 为例。
文章图片
- 设置登录回调 URL。
在认证过程中,Authing 将会拒绝除配置以外的回调 URL,traefik-forward-auth 中间件默认会回调到 _oauth 路由下,然后我接下来的示例中会使用 whoami.localhost 这个域名作为我的应用域名,所以这里配置 http://whoami.localhost/_oauth 登录回调 URL 可以配置多个,中间用英文逗号分隔。
文章图片
【产品功能|实现集中式身份认证管理的案例】
文章图片
- Traefik 需要更改授权配置 id_token 签名算法 RS256 点击保存。
文章图片
- 创建用户(可选)。在用户列表页面,创建用户,账号密码分别为 user1/user1,并且可以在「用户信息-授权管理」页面中设置是否允许应用的访问(默认为允许)。
文章图片
文章图片
- 访问应用页面,获取以下配置,配置 Traefik OpenID Connect 时需要提供这些信息:
- App ID:OIDC client ID,即应用的 ID。与下文的{PROVIDERS_OIDC_CLIENT_ID} 对应。
- App secret:OIDC client secret,即应用密钥。与下文{PROVIDERS_OIDC_CLIENT_SECRET} 对应。
- Issuer:OIDC Issuer。与下文的 {PROVIDERS_OIDC_ISSUER_URL} 对应。
文章图片
文章图片
安装 Docker 和 Docker Compose
如果你已经安装了 Docker 和 Docker Compose,可以跳过此步骤。
如果你受限于国内服务器缓慢的网速,并且使用的是 Ubuntu 服务器,我们提供了以下方式安装 Docker 和 Docker Compose 的方式:
apt update
apt install -y unzip
wget https://download.authing.cn/docker.zip
unzip docker.zip
cd docker
sudo dpkg -i docker-ce-cli_19.03.9_3-0_ubuntu-focal_amd64.deb
sudo dpkg -i containerd.io_1.3.7-1_amd64.deb
sudo dpkg -i docker-ce_19.03.9_3-0_ubuntu-focal_amd64.deb
最后使用
docker ps
检验安装是否成功。wget https://download.authing.cn/docker-compose-Linux-x86_64
mv docker-compose-Linux-x86_64 /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
最后使用
docker-compose -v
检验安装是否成功。安装 Traefik
- 创建 traefik 目录 :
mkdir traefik
- 创建一个文件:
docker-compose.yaml
:
version: '3'# docker 通讯如果启动报错 提示找不到 应用@docker
# 执行命令 docker network create traefik
networks:
traefik:
external: trueservices:
traefik:
image: traefik:v2.2
# 开启 web UI 并且告诉 Traefik 监听 Docker
command: --api.insecure=true --providers.docker
# 端口映射这个 80 端口 是网关入口 比如下边的 whoami 服务
# 给他分配的域名是 whoami.localhost 那么直接访问 http://whoami.localhost 就可以
# 如果这里分配的是 8081 之类的其下方的应用都需要带端口比如 http://whoami.localhost:8081
# 8086 是 traefik web UI 地址
ports:
- '80:80'
- '8086:8080'
volumes:
- /var/run/docker.sock:/var/run/docker.sock
networks:
- traefikwhoami:
image: containous/whoami
labels:
# routers. 后边跟的是 services 的名称 rule 是给当前应用绑定域名或者路径
# 每个 Host 需要配置到 Authing 的 Traefik External URL 参数中,有多个服务的时候用英文逗号分开。
- 'traefik.http.routers.whoami.rule=Host(`whoami.localhost`)'
# 中间件使用 traefik-forward-auth
- 'traefik.http.routers.whoami.middlewares=traefik-forward-auth'
networks:
- traefiktraefik-forward-auth:
image: thomseddon/traefik-forward-auth:2
ports:
- '4181:4181'
networks:
- traefik
environment:
# 登录方式 OIDC 下边三个参数授权等信息在 Authing 应用登录配置中 见下方图
- DEFAULT_PROVIDER=oidc
- PROVIDERS_OIDC_ISSUER_URL= {PROVIDERS_OIDC_ISSUER_URL}
- PROVIDERS_OIDC_CLIENT_ID= {PROVIDERS_OIDC_CLIENT_ID}
- PROVIDERS_OIDC_CLIENT_SECRET= {PROVIDERS_OIDC_CLIENT_SECRET}
# 更多参数见附录1
- SECRET=something-random
# INSECURE_COOKIE is required if not using a https entrypoint
- INSECURE_COOKIE=true
- LOG_LEVEL=debug
labels:
# address=http://traefik-forward-auth:4181指的是 traefik-forward-auth 应用的 4181 端口
# 选项定义外部身份验证服务器地址
# authResponseHeaders选项定义要从外部身份验证服务器复制到请求的标头列表
# trustForwardHeader选项设置true表示信任所有现有的X-Forwarded-*标头
# 更多参数见附录1
- 'traefik.http.middlewares.traefik-forward-auth.forwardauth.address=http://traefik-forward-auth:4181'
- 'traefik.http.middlewares.traefik-forward-auth.forwardauth.authResponseHeaders=X-Forwarded-User'
- 'traefik.http.services.traefik-forward-auth.loadbalancer.server.port=4181'
文章图片
文章图片
最后使用
docker-compose up -d
启动 Traefik。traefik-forward-auth
traefik-forward-auth 是 Traefik 的一个中间件,在配置后在访问 Traefik 下边应用时会先去执行中间件服务,traefik-forward-auth 会根据配置去调用 OIDC 协议登录。
04 Q & A 如何给一个服务配置多个域名
labels:
- "traefik.prod.frontend.rule=Host:whoami.xiange.tech"
- "traefik.another.frontend.rule=Host:who.xiange.tech"
- "traefik.dev.frontend.rule=Host:whoami.xiange.me"
Https 相关配置
相关链接 :https://doc.traefik.io/traefik/https/overview/
https
已经成为一个现代网站的标配,以至于当一个网站没有 https
时,某些浏览器都会把它标识为不安全。而除了安全方面,https
对网站的 SEO 也影响很多,而对于某些新型的浏览器 API,也只有在 https
下才能使用。不管怎么说,https
也成为一个网站的刚需。而当你使用了
traefik
作为反向代理时,你可以配置 ACME
自动为域名提供证书,只需几行即可解决问题。免费的证书,当然是通过 Let's Encrypt
来解决。ACME 配置????????
通过它可以很方便地自动签发证书并且自动续期,我们在
traefik.toml
中进行相关配置:[certificatesResolvers.le.acme]
email = "you-email"
storage = "acme.json"[certificatesResolvers.le.acme.tlsChallenge]
其中,
storage
指存放证书的位置。Traefik 容器配置
在配置好
traefik.toml
配置完成后,我们需要修改 traefik
容器启动的相关配置:暴露 443 端口
挂载
acme.json
,持久化证书由于 acme.json 是一个文件,我们先在宿主机中创建它:
touch acme.json
容器,改动配置文件如下:
reverse-proxy:
image: traefik:v2.0
ports:
- "443:443"
volumes:
- ./traefik.toml:/etc/traefik/traefik.toml
- ./acme.json:/acme.jsonwhoami:
labels:
- traefik.http.routers.whoami.tls=true
- traefik.http.routers.whoami.tls.certresolver=le
服务启动后,使用
curl
测试服务是否正常工作,我们可以看到 X-Forwarded-Proto
为 https
,配置成功。$ curl https://whoami.shanyue.tech
Hostname: c9c3cc850e2b
IP: 127.0.0.1
IP: 172.18.0.2
RemoteAddr: 172.18.0.3:35320
GET / HTTP/1.1
Host: whoami.shanyue.tech
User-Agent: curl/7.29.0
Accept: */*
Accept-Encoding: gzip
X-Forwarded-For: 59.110.159.217
X-Forwarded-Host: whoami.shanyue.tech
X-Forwarded-Port: 443
X-Forwarded-Proto: https
X-Forwarded-Server: 9d783174aca9
X-Real-Ip: 59.110.159.217
出现 oops
文章图片
当前情况是你的应用地址没有在 Authing 中配置:
文章图片
无限循环重定向(配置错误,手动触发鉴权地址)
需要在 traefik-forward-auth 服务下的 labels 添加:
"traefik.http.routers.traefik-forward-auth.middlewares=traefik-forward-auth"
配置成功示例
- 访问 whoami.localhost 后,如果没有登录授权,由于已经开启了 OpenID Connect 插件,所以页面被重定向到 Authing 登录页面 (可在 Authing 控制台中 「应用-品牌化」对该页面进行定制)。
文章图片
- 输入用户在 Authing 注册的账号密码,或者在步骤一中创建的用户 user1/user1 ,单击“登录”,登录 Authing 账户。
- 登录成功之后,能成功访问到 whoami.localhost 示例应用。
文章图片
- 在 Authing 控制台中的 「审计日志-用户行为日志」中可以观察到 user1 用户在 2022.04.15 11:57:51 成功登录。
文章图片
- 重新创建一个邮箱账号并登录,可以看到邮箱已经回显出来。
文章图片
文章图片
Authing 既是客户的支持者,也是客户的产品专家和战略顾问,更是值得信赖的合作伙伴。我们提供全球化的身份专家支持团队,通过网络或电话,7*24 小时不间断支持。Authing 的帮助中心提供最新的技术知识库、商业案例以及与您的同行和 Authing 专家联系的机会。无论您何时需要我们,Authing 的支持团队总能最快响应。
2022 年,Authing 将秉承着致力于客户成功的初衷,帮助推动客户重要业务,为实现身份连通、打破数据孤岛而不懈努力。
点击此处了解更多行业身份管理
「解决方案」以及「最佳实践案例」
推荐阅读
- 产品功能|1 秒完成授权,Authing 全新上线一键登录功能
- Authing|如何使用 Authing 单点登录,集成 Discourse 论坛()
- 单点登录|那些利用假期学习的职场人,后来都怎么样了()
- 单点登录|重磅消息 | Authing 实现与西门子低代码平台的集成
- 产品功能|定制 or 通用,中国 SaaS 未来发展趋势是什么()
- 产品功能|单点登录的三种实现方式
- 产品功能|Authing 入选开源 GitOps 产业联盟
- 产品功能|微软关闭基本身份验证,对企业与员工有什么影响()
- Authing|Authing 实践 | 授权管理使企业用户登录更容易