在Solo-io Gloo中使用Google OAuth实现应用认证
2025-06-12 17:16:36作者:乔或婵
前言
在现代微服务架构中,应用安全认证是不可或缺的一环。本文将详细介绍如何在Solo-io Gloo网关中配置Google OAuth认证,为您的应用添加基于OpenID Connect(OIDC)的身份验证功能。
准备工作
环境要求
在开始之前,请确保您已具备以下条件:
- 已部署Solo-io Gloo网关
- 拥有Google开发者账号
- 本地开发环境已配置kubectl工具
注意事项
由于Gloo网关的外部认证服务需要与OIDC提供者(Google)进行交互,认证流程可能会超过默认的200ms超时时间。您可以通过修改外部认证设置中的requestTimeout值来延长超时时间。
部署示例应用
我们将使用一个简单的宠物商店应用作为演示:
kubectl apply -f [petstore应用YAML文件地址]
创建虚拟服务
首先,我们需要创建一个虚拟服务(VirtualService)来路由请求:
apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
name: default
namespace: gloo-system
spec:
virtualHost:
domains:
- '*'
routes:
- matchers:
- exact: /all-pets
options:
prefixRewrite: /api/pets
routeAction:
single:
upstream:
name: default-petstore-8080
namespace: gloo-system
验证服务是否正常工作:
kubectl -n gloo-system port-forward svc/gateway-proxy 8080:80
访问http://localhost:8080/all-pets应该能看到宠物列表。
配置Google OAuth认证
1. 在Google开发者控制台注册应用
- 登录Google开发者控制台
- 创建新项目(如果是首次使用)
- 导航至"OAuth同意屏幕"菜单
- 输入应用名称并选择"内部"作为应用类型
- 保存设置
- 导航至"凭据"菜单
- 创建OAuth客户端ID,选择"Web应用"类型
- 添加授权重定向URI:
http://localhost:8080/callback - 记录下生成的客户端ID和客户端密钥
2. 创建客户端密钥Secret
将客户端密钥存储在Kubernetes Secret中:
glooctl create secret oauth --namespace gloo-system --name google --client-secret $CLIENT_SECRET
3. 创建AuthConfig资源
apiVersion: enterprise.gloo.solo.io/v1
kind: AuthConfig
metadata:
name: google-oidc
namespace: gloo-system
spec:
configs:
- oauth2:
oidcAuthorizationCode:
appUrl: http://localhost:8080
callbackPath: /callback
clientId: $CLIENT_ID
clientSecretRef:
name: google
namespace: gloo-system
issuerUrl: https://accounts.google.com
session:
cookieOptions:
notSecure: true
scopes:
- email
注意:此配置中我们明确允许了不安全的cookie(notSecure: true),仅用于本地开发测试。在生产环境中应使用HTTPS并禁用此选项。
4. 更新虚拟服务
将认证配置应用到虚拟服务:
apiVersion: gateway.solo.io/v1
kind: VirtualService
metadata:
name: default
namespace: gloo-system
spec:
virtualHost:
domains:
- '*'
routes:
- matchers:
- prefix: /callback
options:
prefixRewrite: '/login'
routeAction:
single:
upstream:
name: default-petstore-8080
namespace: gloo-system
- matchers:
- exact: /all-pets
options:
prefixRewrite: /api/pets
routeAction:
single:
upstream:
name: default-petstore-8080
namespace: gloo-system
options:
extauth:
configRef:
name: google-oidc
namespace: gloo-system
测试认证流程
- 启动端口转发:
kubectl port-forward -n gloo-system deploy/gateway-proxy 8080 &
portForwardPid=$!
- 访问
http://localhost:8080/all-pets,应该会被重定向到Google登录页面 - 登录后,将被重定向回应用,并在URL中包含Google提供的认证信息
故障排查
如果认证失败,可以检查外部认证服务的日志:
kubectl logs -n gloo-system deploy/extauth -f
成功加载配置后,您应该能看到日志行:
"logger":"extauth","caller":"runner/run.go:179","msg":"got new config"
清理资源
完成测试后,可以删除创建的资源:
kill $portForwardPid
kubectl delete virtualservice -n gloo-system default
kubectl delete authconfig -n gloo-system google-oidc
kubectl delete secret -n gloo-system google
kubectl delete -f [petstore应用YAML文件地址]
总结
通过本文,您已经学会了如何在Solo-io Gloo网关中配置Google OAuth认证。这种认证方式不仅提供了安全的用户认证机制,还能利用Google庞大的用户基础,为您的应用提供便捷的登录体验。在实际生产环境中,您可能需要考虑添加更多的安全措施,如HTTPS、CSRF保护等。
登录后查看全文
热门项目推荐
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00
GLM-4.7-FlashGLM-4.7-Flash 是一款 30B-A3B MoE 模型。作为 30B 级别中的佼佼者,GLM-4.7-Flash 为追求性能与效率平衡的轻量化部署提供了全新选择。Jinja00
VLOOKVLOOK™ 是优雅好用的 Typora/Markdown 主题包和增强插件。 VLOOK™ is an elegant and practical THEME PACKAGE × ENHANCEMENT PLUGIN for Typora/Markdown.Less00
PaddleOCR-VL-1.5PaddleOCR-VL-1.5 是 PaddleOCR-VL 的新一代进阶模型,在 OmniDocBench v1.5 上实现了 94.5% 的全新 state-of-the-art 准确率。 为了严格评估模型在真实物理畸变下的鲁棒性——包括扫描伪影、倾斜、扭曲、屏幕拍摄和光照变化——我们提出了 Real5-OmniDocBench 基准测试集。实验结果表明,该增强模型在新构建的基准测试集上达到了 SOTA 性能。此外,我们通过整合印章识别和文本检测识别(text spotting)任务扩展了模型的能力,同时保持 0.9B 的超紧凑 VLM 规模,具备高效率特性。Python00
KuiklyUI基于KMP技术的高性能、全平台开发框架,具备统一代码库、极致易用性和动态灵活性。 Provide a high-performance, full-platform development framework with unified codebase, ultimate ease of use, and dynamic flexibility. 注意:本仓库为Github仓库镜像,PR或Issue请移步至Github发起,感谢支持!Kotlin07
compass-metrics-modelMetrics model project for the OSS CompassPython00
项目优选
收起
kerneldeepin linux kernel
C
27
11
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
521
3.71 K
nop-entropyNop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
leetcode🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
67
20
flutter_flutter暂无简介
Dart
762
184
gitea喝着茶写代码!最易用的自托管一站式代码托管平台,包含Git托管,代码审查,团队协作,软件包和CI/CD。
Go
23
0
RuoYi-Vue3🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.32 K
742
rainbond无需学习 Kubernetes 的容器平台,在 Kubernetes 上构建、部署、组装和管理应用,无需 K8s 专业知识,全流程图形化管理
Go
16
1
ohos_react_nativeReact Native鸿蒙化仓库
JavaScript
302
349
apinto基于golang开发的网关。具有各种插件,可以自行扩展,即插即用。此外,它可以快速帮助企业管理API服务,提高API服务的稳定性和安全性。
Go
22
1