Pulsar 中使用 JWT 进行身份认证

原创 已于 2022-08-16 20:18:38 修改 · 1.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #hadoop #大数据 #中间件

于 2022-06-28 01:01:55 首次发布
Apache Pulsar 支持使用JWT进行身份认证,包括对称密钥和非对称密钥两种方式。JWT包含Header、Payload和Signature三部分,可以通过jwt.io在线查看和验证。在Pulsar中,配置JWT认证涉及brokerClientAuthenticationParameters、tokenSecretKey或tokenPublicKey等参数。此外,要注意JWT一旦签发,在有效期内将一直有效,无法撤销,因此需谨慎设置有效期和权限。通过pulsar-admin工具,可以进行权限的授予和撤销。

Pulsar 中使用 JWT 进行身份认证

欢迎阅读 Pulsar 开源书籍《Pulsar入门与实践》
更好的阅读体验,请参考在线版本《使用 JWT 进行身份认证》

Pulsar 使用标准的 io.jsonwebtoken 库支持使用 JWT 做身份认证,同时也提供了 JWT 客户端,可以方便的制作密钥和生成 token。

JWT 简介

JSON Web Token(RFC-7519)是在 Web 应用中常用的一种认证方案。形式上这个 token 只是一个 JSON 字符串,并做了 base64url 编码和签名。

一个 JWT 的 token 字符串包含三个部分,例如:xxxxx.yyyyy.zzzzz(通过点来分隔):

  • Header(下图中红色部分):内容是一个 JSON 串,主要指定签名算法(Pulsar 中默认使用 HS256),使用 base64url 编码。
  • Payload(下图中紫色部分):内容也是一个 JSON 串,主要指定用户名(sub)和过期时间,也是用 base64url 编码。
  • Signature(下图蓝色部分):内容由使用特定算法,计算编码后的 Header 和 Payload 加一个 secret 值而来。签名保证了 token 不被中途篡改。
# 一个使用 HMAC SHA256 算法的签名示例
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

token 内容的查看和验证

image-20220626104218918

我们可以去 https://jwt.io/ 查看 Token 的组成内容,或者使用任意 base64 解密工具查看 header 和 payload 部分。

Pulsar 客户端也提供了验证功能:

  • bin/pulsar tokens show: 查看 token 的 header 和 payload:

    bin/pulsar tokens show -i eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIiLCJleHAiOjE2NTY3NzYwOTh9.awbp6DreQwUyV8UCkYyOGXCFbfo4ZoV-dofXYTnFXO8


{
     
     "alg":"HS256"}
---
{
     
     "sub":"test-user","exp":1656776098}

  • bin/pulsar tokens validate:使用 secret key 或者 public key 验证 token:

    bin/pulsar tokens validate -pk  /Users/futeng/workspace/github/futeng/pulsar-pseudo-cluster/pulsar-1/my-public.key -i "eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJhZG1pbiJ9.ijp-Qw4JDn1aOQbYy4g4YGBbXYIgLA9lCVrnP-heEtPCdDq11_c-9pQdQwc6RdphvlSfoj50qwL5OtmFPysDuF2caSYzSV1kWRWN-tFzrt-04_LRN-vlgb6D06aWubVFJQBC4DyS-INrYqbXETuxpO4PI9lB6lLXo6px-SD5YJzQmcYwi2hmQedEWszlGPDYi_hDG9SeDYmnMpXTtPU3BcjaDcg9fO6PlHdbnLwq2MfByeIj-VS6EVhKUdaG4kU2EJf5uq2591JJAL5HHiuTZRSFD6YbRXuYqQriw4RtnYWSvSeVMMbcL-JzcSJblNbMmIOdiez43MPYFPTB7TMr8g"

{
     
     sub=admin}

Pulsar 中使用 JWT 的几个注意点

基于 JWT 的特性,在 Pulsar 中使用需要注意的几个点:

  1. 使用 JWT 可以做认证和授权,但数据仍然处于暴露状态,在安全要求较高的环境,建议开启 TLS 对数据传输加密(会牺牲一小部分性能),以进一步巩固安全。
  2. JWT 最重要的特性是不需要借助第三方服务(例如 Kerberos 之于 KDC),凭借 JWT 内容本身,就能验证 token 是否有效。这也带来一个问题,即 token 一旦签发,在有效期间将会一直有效,无法撤回。因此对于执行某些重要操作的 token,有效期要尽量设置的短。
  3. Pulsar 支持 2 种 JWT 加密方式,即使用对称秘钥(secret key)和使用非对称密钥(private/public key),选择其中一个即可。
  4. Token 的配置容易出错用户(例如需要操作 pulsar-admin 但仅给了test-user 的 token),建议配置后可使用 validate 命令做验证。
  5. Pulsar Broker 会缓存客户端的认证信息,并会在一个固定时间(默认 60 秒)来检查每个连接的认证是否过期,这个刷新时间可以配置 broker.conf 中的 authenticationRefreshCheckSeconds 参数来自定义。

配置 JWT

注意 Pulsar 提供了使用对称密钥(secret key)和使用非对称密钥(private/public key)两种方式,可根据安全强度要求选择其中一个即可。

提示:

  1. Pulsar 中既可以对 broker 的访问做 JWT 认证,也可以对 bookie 的访问做 JWT 认证。两者配置方式类似,本文重点在于区分两种密钥配置的不同,因此将仅针对 broker 对配置做说明。

  2. token 参数的配置,既可使用字符串形式,也可以使用文件形式,可择优选择。

    # 字符串形式
brokerClientAuthenticationParameters={
     
     "token"
最低0.47元/天 解锁文章
pulsar的客户端权限控制功能(一)
随便写写
07-27 2305
1. 概述 最近在研究pulsar的权限验证部分,权限验证包含两部分: 客户端连接 客户端的访问控制 pulsar提供了authentication和authorization两种方式实现上述两个功能,每一种方式提供了接口。 2. 版本 pulsar 2.8.0 3. 客户端连接验证 默认情况下,pulsar是不会开启连接验证的,即客户端到broker之间、broker到broker之间的访问都没有任何限制。但是在线上环境中,对于权限的控制往往是很重要的。 3.1 在broker.conf文件中开启客户
pulsar2.9.2开启jwt认证(基于k8s)
m0_59685732的博客
06-13 1007
配置上之后,broker对于proxy转发过来的数据,需要鉴定client的token,也需要鉴定proxy的token。1、进入目前运行的broker容器,执行如下命令,创建private.key和public.key,放在conf文件夹下。6、修改configMap pulsar-proxy的配置(在使用到proxy的集群中,认证必须在proxy也配置)8、同理,修改pulsar-proxy的statefulset的配置,保证存到容器中的public.key相同。配置成超级管理员的token。
Pulsar Manager配置自定义认证插件访问
yinjl123的博客
10-16 423
Pulsar Manager和dashboard部署和启用认证pulsar自定义认证插件开发前面博客讲了以token方式访问pulsar 这节博客讲如何配置自定义认证插件的方式访问pulsar#启动pulsar-manager#从容器里复制配置文件出来#停止和删除容器#修改配置文件为自定义插件方式认证,前面博客有讲解如何开发自定义认证插件#启动容器,指定配置文件#把认证的插件jar包放到容器里lib目录#进入容器#增加认证包的路径,不然会报找不到包错误。
Apache Pulsar安全机制完全指南:认证授权与数据加密实战
最新发布
gitblog_00374的博客
11-16 731
Apache Pulsar作为新一代分布式发布订阅消息系统,其安全机制设计完善且强大。本文将深入解析Pulsar的三大安全核心:身份认证、访问授权和数据加密,帮助您构建安全可靠的消息流平台。🔒 ## 身份认证机制:多层次安全防护 Apache Pulsar支持多种认证方式,确保只有合法客户端能够连接到消息系统。 ### TLS客户端认证 Pulsar通过TLS证书实现双向认证,在`conf
pulsar开启mqtt和认证
yinjl123456的博客
10-12 1953
Linux MacBook单机部署Pulsar并开启认证功能 pulsar集群搭建_亲测成功 方式一:官方下载nar包 官方下载地址: https://github.com/streamnative/mop/releases/ 下载对应版本的nar包,如: pulsar-protocol-handler-mqtt-2.8.1.0.nar 放到apache-pulsar-2.8.1/protocols目录下,没有protocols目录就创建一个 方式二:源代码编译 #下载源代码 git clone https
技术探究|Apache Pulsar 认证与鉴权实践指南
Apache Pulsar
10-13 1653
文章摘要本文整理自 2022 年 8 月 Apache Pulsar Meetup 上傅腾题为《Apache Pulsar 企业级安全实践》的分享。数据安全已经成为企业的一项重要竞争优势。傅腾针对集群环境分享 Apache Pulsar认证和授权实现,讲述企业如何构建安全的 Apache Pulsar 集群并打造满足个性化要求的 Pulsar 认证或授权插件,以满足不同的企业安全需求。作者介绍...
19、Pulsar 安全认证:TLS 与 JWT 实战
tgb34567890的博客
09-23 33
本文深入探讨了Pulsar消息系统的两种核心安全认证机制——TLS认证JWT认证。详细介绍了TLS基于证书的身份验证原理及配置步骤,并结合Docker和Java示例展示实际应用;同时解析了JWT认证的工作流程、加密方案及其在Pulsar中的集成方法。通过流程图和代码实例,帮助读者理解如何在真实场景中构建安全可靠的消息通信系统。
Pulsar-Pulsarpulsar manager
HQ DevJ的专栏
10-19 1786
我们可以在Docker Hub目录中找到docker镜像,并从源代码构建镜像cd ..cd ..
Pulsar 集群部署
wy
08-05 1452
部署 Pulsar 集群 部署 JDK cat >> ~/.bash_profile <<'EOF' # JDK export JAVA_HOME=/root/jdk export CLASSPATH=.:${JAVA_HOME}/jre/lib/rt.jar:${JAVA_HOME}/lib/dt.jar:${JAVA_HOME}/lib/tools.jar export PATH=$PATH:${JAVA_HOME}/bin EOF souece ~/.bash_profile
Docker部署pulsar独立集群消息队列服务器
ClassFree(自由魔方)的Blog
05-31 2278
2、生成Pulsar容器,把容器的6650和8080端口映射到宿主机的6650和8080端口,standalone参数表示pulsar为独立集群模式,把容器中的conf目录映射到宿主机的/var/lib/docker/volumes/pulsarconf,把容器中的data目录映射到宿主机的/var/lib/docker/volumes/pulsardata。8.2、进入刚刚新建的环境,可以看到有以下几个概念: 租户、命名空间、订阅主题、角色。=, 填写外网能访问的URL地址,注意端口一定要正确。
Pulsar官方文档翻译-概念和架构-认证和授权(Authentication and Authorization)
稀有气体的技术博客
11-05 1117
官网原文标题《Concepts and Architecture--Authentication and Authorization》 翻译时间:2018-11-02 官网原文地址:http://pulsar.apache.org/docs/en/concepts-authentication/ ------------------------------------------------...
Pulsar集群和PulsarManager添加JWT认证
铁打的键盘也能敲出优雅的生活
07-20 1761
Pulsar集群和PulsarManager添加JWT认证
Apache Pulsar学习笔记12: 开启基于JWT身份认证
linjingyg的博客
11-13 1764
  Pulsar支持可插拔的身份认证和授权机制,Pulsar Proxy或者Pulsar Broker都支持该机制。认证和授权机制一起保证了客户端对Pulsar Topic、命名空间、租户的访问权限。      默认情况下,Pulsar并不会启用加密、身份认证和授权机制。之前我们使用pulsar-admin,pulsar-client等命令行工具,使用Java或Go语言开发的Consumer和Produmer,访问使用docker容器启动的单机Pulsar时,都未用到任何身份认证信息。 也就是说,P
Pulsar/Pulsar manager/Pulsar sql添加认证
NoMemberBM的博客
03-22 701
在给Pulsar添加了认证相关的配置后,发现pulsar-manger的管理页面是无法使用的,需要我们也进行token相关的配置。在client.conf配置完成后重启pulsar-broker,此时在客户端进行远程访问需要进行认证才能进行相关操作,但在集群服务器进行命令行操作不需要进行认证。在broker.conf文件配置完成后重启pulsar-broker即可开启认证,此时在客户端进行远程访问或者在服务集群命令行操作都需要进行认证才能进行相关操作。修改完配置后,重启pulsar-manger即可。
使用 Spring Boot 客户端对 Apache Pulsar 进行自定义身份验证
qianmoQ - 关注云计算,关注大数据
10-07 1660
现在,让我们通过实现 Pulsar 的接口来创建@Override@Override@Override.build();= null;} else {} else {} else {@Override= null) {:此类实现主要身份验证逻辑并向 Pulsar 代理提供凭证。:此类提供向 Pulsar 发出请求时进行身份验证所需的数据(标头)。1.Class此类负责定义身份验证方法并管理用户凭据。
Apache Pulsar 安全指南:基于JWT的客户端认证机制
gitblog_00137的博客
06-03 434
Apache Pulsar 安全指南:基于JWT的客户端认证机制 什么是JWT认证 JSON Web Token (JWT) 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。在Apache Pulsar中,JWT被用作客户端认证的安全令牌机制,允许系统验证客户端身份并授予相应的操作权限。 JWT认证的核心优势 无状态性:服务端不需要存储会话信息,所有必要信息都包含在令牌中 安全...
pulsar自定义认证插件开发
yinjl123456的博客
10-30 1328
pulsar自定义认证插件开发 pulsar的权限分为两部分: 1 客户端连接时认证的权限 2 客户端发送和订阅主题的权限 pulsar开启认证功能 默认情况下,pulsar是不会开启客户端连接认证的,即客户端到broker之间、broker到broker之间的访问都没有任何限制。但是在线上环境中,对于权限的控制往往是很重要的。 修改配置,开启认证功能 standalone.conf 或 broker.conf #开启认证 authenticationEnabled=true #认证处理类:
深入了解 Pulsar 认证和授权机制
Apache Pulsar
05-12 1784
五一假期后的第一场 TGIP-CN 的直播,继续由郭斯杰大佬为我们带来关于「Deep dive into authentication and authorization」相关内容。首先...
Pulsar消息队列技术详解与应用实践
Pulsar 支持基于 TLS 的传输加密、基于 JWT/OAuth2 的身份认证机制以及基于租户和命名空间的细粒度权限控制,确保企业在多租户环境下也能安全运行。与此同时,Pulsar 内建了 Prometheus 和 Grafana 监控指标导出功能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值