我是安全方面的新手。我刚刚了解了 Istio 并了解了它的安全方面。 Istio 中定义的身份验证(https://istio.io/docs/reference/config/istio.authentication.v1alpha1/)有一些我不知道含义的基本术语:peer 和origin。
谁能解释它是什么,有什么区别? 我的猜测:
我的理解正确吗?也许有人可以解释和详细说明它们?
谢谢, 阿贡
【问题讨论】:
标签: security authentication oauth-2.0 istio
- peer = 用于服务到服务的通信,因此对等身份是基于机器的身份(服务帐户附加到 那
- machine) origin = 用于最终用户到服务的通信。通常是基于人的身份,但也可以是服务帐户身份
(如机器人用户)。
是的,你没看错。
Peer 用于服务 --> 服务,origin 主要用于最终用户与服务的通信。但它也可用于服务帐户身份。
同行:
可用于对等的身份验证方法列表 验证。他们将按顺序进行评估;第一个验证 一个将用于设置对等体身份(source.user)和其他对等体 属性。如果这些方法都没有通过,并且 peerisoptional 标志是 false(见下文),请求将被拒绝,身份验证失败 错误 (401)。如果没有对等身份验证,则将列表留空 必填
起源:
可用于来源的身份验证方法列表 验证。与同行类似,这些将按顺序进行评估; 第一个验证将用于设置原始身份和 属性(即 request.auth.user、request.auth.issuer 等)。如果没有 这些方法中的一个都通过了,并且 originisoptional 为假(见下文), 请求将被拒绝,并出现身份验证失败错误 (401)。离开 如果不需要原始身份验证,则列表为空。
也很高兴阅读Increasing Security with a Service Mesh 文章。
【讨论】: