首页
/ 使用Dex实现Solo-io Gloo网关的OAuth身份认证

使用Dex实现Solo-io Gloo网关的OAuth身份认证

2025-06-12 21:04:37作者:沈韬淼Beryl

前言

在现代微服务架构中,API网关的安全认证是至关重要的环节。Solo-io Gloo作为一个功能强大的API网关,提供了灵活的认证机制。本文将详细介绍如何利用Dex身份提供者(Identity Provider)为Gloo网关配置OAuth认证流程。

什么是Dex

Dex是一个开源的OpenID Connect(OIDC)身份枢纽,它充当了认证中间件的角色。Dex的主要优势在于:

  1. 提供统一的OIDC接口
  2. 支持多种后端认证方式(LDAP、SAML、其他OIDC提供商等)
  3. 允许在不影响系统其他部分的情况下更换认证后端
  4. 可以与Kubernete API服务器集成

准备工作

环境要求

在开始配置前,请确保:

  1. 已安装并运行Gloo网关
  2. 拥有Kubernete集群管理权限
  3. 了解基本的OAuth/OIDC概念

注意事项

由于Gloo的外部认证服务需要与OIDC提供者通信,认证流程可能超过默认的200ms超时时间。建议在全局设置中调整requestTimeout值。

部署示例应用

我们使用一个宠物诊所(Petclinic)应用作为演示:

kubectl apply -f <petclinic应用YAML地址>

创建虚拟服务

定义基础路由规则,将所有请求转发到petclinic服务:

apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
  name: petclinic
  namespace: gloo-system
spec:
  virtualHost:
    domains: ['*']
    routes:
    - matchers: [{prefix: /}]
      routeAction:
        single:
          kube:
            ref: {name: petclinic, namespace: default}
            port: 80

通过端口转发测试应用是否可访问:

kubectl -n gloo-system port-forward svc/gateway-proxy 8080:80

配置Dex身份提供者

Dex Helm配置

创建dex-values.yaml配置文件:

config:
  issuer: http://dex.gloo-system.svc.cluster.local:32000
  staticClients:
  - id: gloo
    redirectURIs: ['http://localhost:8080/callback']
    name: 'GlooApp'
    secret: secretvalue
  enablePasswordDB: true
  storage: {type: memory}
  staticPasswords:
  - email: "admin@example.com"
    hash: "$2a$10$2b2cU8CPhOTaGrs1HRQuAueS7JTT5ZHsHSzYiFPm1leZck7Mc8T4W"
    username: "admin"
    userID: "08a8684b-db88-4b73-90a9-3cd1661f5466"

部署Dex

helm repo add dex <Dex Helm仓库地址>
helm install dex --namespace gloo-system dex/dex -f dex-values.yaml

配置Gloo认证

创建OAuth密钥

Gloo需要客户端密钥与Dex通信:

apiVersion: v1
kind: Secret
type: extauth.solo.io/oauth
metadata:
  name: oauth
  namespace: gloo-system
data:
  client-secret: <base64编码的secretvalue>

创建AuthConfig

定义OIDC认证配置:

apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
  name: oidc-dex
  namespace: gloo-system
spec:
  configs:
  - oauth2:
      oidcAuthorizationCode:
        appUrl: http://localhost:8080/
        callbackPath: /callback
        clientId: gloo
        clientSecretRef: {name: oauth, namespace: gloo-system}
        issuerUrl: http://dex.gloo-system.svc.cluster.local:32000/
        scopes: [email]
        session: {cookieOptions: {notSecure: true}}

更新虚拟服务

将认证配置应用到虚拟服务:

spec:
  virtualHost:
    options:
      extauth:
        configRef: {name: oidc-dex, namespace: gloo-system}

测试配置

  1. 端口转发Dex服务:

    kubectl -n gloo-system port-forward svc/dex 32000:32000
    
  2. 添加本地域名解析:

    echo "127.0.0.1 dex.gloo-system.svc.cluster.local" | sudo tee -a /etc/hosts
    
  3. 访问应用:

    • 打开浏览器访问http://localhost:8080
    • 使用admin@example.com/password登录

故障排查

常见问题

  1. 404错误:确保路由配置包含/callback路径
  2. 超时问题:检查并调整requestTimeout设置
  3. 证书问题:生产环境应配置SSL证书

查看日志

kubectl logs -n gloo-system deploy/extauth -f

成功配置后应看到日志:"got new config"

清理资源

完成测试后,执行以下命令清理:

# 删除域名解析条目
sudo sed '/127.0.0.1 dex.gloo-system.svc.cluster.local/d' /etc/hosts

# 停止端口转发
kill <port-forward进程ID>

# 删除Kubernete资源
helm delete --purge dex
kubectl delete -n gloo-system secret oauth
kubectl delete virtualservice -n gloo-system petclinic
kubectl delete authconfig -n gloo-system oidc-dex
kubectl delete -f <petclinic应用YAML地址>

总结

通过本文,我们完成了使用Dex为Gloo网关配置OIDC认证的全过程。这种集成方式不仅提供了强大的认证能力,还能灵活适应各种身份验证后端。生产环境中,建议进一步配置SSL证书和更复杂的用户存储方案。

登录后查看全文
热门项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
197
2.17 K
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
208
285
pytorchpytorch
Ascend Extension for PyTorch
Python
59
94
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
974
574
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
9
1
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
549
81
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.02 K
399
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
393
27
MateChatMateChat
前端智能化场景解决方案UI库,轻松构建你的AI应用,我们将持续完善更新,欢迎你的使用与建议。 官网地址:https://matechat.gitcode.com
1.2 K
133