让 grafana 使用现有的 JWT 令牌

【问题标题】:Make grafana use existing JWT token让 grafana 使用现有的 JWT 令牌
【发布时间】:2022-01-02 02:08:19
【问题描述】:

我有一个具有 JWT 身份验证的 React + DRF Web 应用程序,我在其中使用 djangorestframework-simplejwt。

我在 localStorage 中存储访问和刷新令牌。是否可以使用这些令牌在 Grafana 中进行身份验证?如果是,我该怎么做?当我导航到 /grafana(使用 nginx 帮助)时,我希望通过在必要时为 Grafana 创建用户来查看我的应用程序中的用户登录到 Grafana。

【问题讨论】:

    标签: django django-rest-framework jwt grafana django-rest-framework-simplejwt


    【解决方案1】:

    不清楚什么是“JWT 身份验证”以及 JWT 是如何创建的。我猜它来自 Open ID Connect 身份验证,因此没有什么能阻止您将 Grafana OIDC auth 与相同的 OIDC 身份提供程序一起使用,以获得无缝的用户单点登录体验。

    【讨论】:

    • 这不是 OIDC,我想它比那更简单。我应该更改身份验证方法吗?
    【解决方案2】:

    让我为那些寻求解决在他们的应用程序和 Grafana 中使用通用 JWT 的问题的人解释所有细节。如果您只关心 Grafana 方面,则可以跳过开头:

    反应方:

    • 我有一个 Django REST Framework API 和 React UI。当一个令牌返回给用户时,React UI 将它保存到本地存储中。我为按钮实现了一个 onClick 处理程序以导航到 Grafana,如下所示:
    // read token value from local storage
const refToken = localStorage.getItem("refresh_token");
window.location.href = `/grafana/login/?mytoken=${refToken}`;

    Django REST 框架端(djangorestframework-simplejwt):

    • API 可以使用 RS256 签名算法生成和验证 JWT 令牌。由于 RSA,API 需要生成 2 个密钥,私钥和公钥。我用jwcrypto 生成了那些。我用私钥.pem的内容设置SIGNING_KEY,用公钥.pem的内容设置VERIFYING_KEY
    from jwcrypto import jwk
import uuid

keyid = str(uuid.uuid4())
key = jwk.JWK.generate(kty='RSA', alg='RS256', size=2048, kid=keyid, use='sig')

# export to PEM files
priv_pem = key.export_to_pem(private_key=True, password=None)
pub_pem = key.export_to_pem()

with open("rsa_pub.pem", "wb") as f:
    f.write(pub_pem)

with open("rsa.pem", "wb") as f:
    f.write(priv_pem)

    SIMPLE_JWT = {
    'ACCESS_TOKEN_LIFETIME': timedelta(hours=1),
    'REFRESH_TOKEN_LIFETIME': timedelta(days=1),
    'SIGNING_KEY': open("/path/to/folder/which/has/keys/rsa.pem").read(),
    'VERIFYING_KEY': open("/path/to/folder/which/has/keys/rsa_pub.pem").read(),
    'ALGORITHM': 'RS256',
    'USER_ID_FIELD': 'username',
    'USER_ID_CLAIM': 'username',
    'AUTH_TOKEN_CLASSES': ('rest_framework_simplejwt.tokens.AccessToken',),
}

    Grafana 方面:

    version: "3"
services:
  ...
  ...
  grafana:
    image:  grafana/grafana:8.2.2
    volumes:
      - ...
      - "/path/to/folder/which/has/keys:/key_set"
    environment:
      - "GF_SERVER_ROOT_URL=/grafana/"
      - "GF_SERVER_SERVE_FROM_SUB_PATH=true"
      - "GF_AUTH_PROXY_ENABLED=true"
      - "GF_AUTH_PROXY_ENABLE_LOGIN_TOKEN=true"
      - "GF_AUTH_JWT_ENABLED=true"
      - "GF_AUTH_JWT_HEADER_NAME=X-JWT-Assertion"
      - "GF_AUTH_JWT_USERNAME_CLAIM=username"
      - "GF_AUTH_JWT_KEY_FILE=/key_set/rsa_pub.pem"

    Nginx 端:

    location /grafana/ {
    try_files /dev/null @proxy_grafana;
}

location /grafana/login/ {
    try_files /dev/null @proxy_grafana_login;
}

location @proxy_grafana {
    ...
    proxy_pass   http://grafana:3000;
}

location @proxy_grafana_login {
    ...
    proxy_set_header X-JWT-Assertion "${arg_mytoken}";
    proxy_pass   http://grafana:3000;
}

    【讨论】:

    • 刷新令牌不用于身份验证。为什么不使用访问令牌?
    • 访问令牌的有效期很短,我认为在我向 grafana 进行身份验证后可能会很糟糕。在应用程序中,我可以控制访问令牌并在需要时刷新它。
    • 这是设计使然。访问令牌的有效期很短,刷新令牌用于更新访问令牌。
    • 我知道。这是我想避免的。我不希望令牌在浏览 grafana 时过期。如果我在 grafana 中选择刷新令牌进行身份验证,那么我的应用程序和 grafana 将一起过期。至少,这是我的目标。
    猜你喜欢
    • 2017-12-10
    • 1970-01-01
    • 2021-06-30
    • 2020-01-15
    • 2019-10-19
    • 1970-01-01
    • 2017-11-01
    • 2017-03-20
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode