Pulsar Token身份验证

发布时间:2020-08-07 23:23:58 作者:qq5dc264c690eab
来源:网络 阅读:429

    一 Token身份验证概述

    Pulsar支持使用基于JSON Web Tokens(RFC-7519)的安全令牌对客户端进行身份验证。

    Tokens用于标识Pulsar客户端,并与角色关联,这些角色随后将被授予执行某些操作的权限(例如:发布或使用某个主题)。

    管理员通常会给客户端一个令牌字符串用于连接时使用。

    JWT支持两种不同的密钥来生成和效验令牌

          1 对称密钥

             有一个密钥用于生成令牌和效验

          2 非对称密钥,有一对密钥,私钥和公钥

             私钥用于生成令牌

             公钥用于生成效验

    二  验证 首先成生超级管理员令牌

         以下使用 对称密钥 例子验证(Pulsar2.4.2版本)

     1  创建密钥

        $ bin/pulsar tokens create-secret-key --output my-secret.ke

         生成base64编码的私钥

        $ bin/pulsar tokens create-secret-key --output  /data/apache-pulsar-2.4.2/my-secret.key --base64

     2 生成令牌(注:首先生成 superUserRoles 角色令牌)

        令牌是与用户关联的凭据,关联是通过角色”来完成的。

        以下命令是给 test-user 角色生成令牌

        bin/pulsar tokens create --secret-key file:///data/apache-pulsar-2.4.2/my-secret.key \

            --subject test-user

       执行此命令后,屏目上会输出此角色令牌,记录此令牌,后边客户端配置会用到。

        假设生成令牌:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIifQ.9OHgE9ZUDeBTZs7nSMEFIuGNEX18FLR3qvy8mqxSxXw

      3 Brokers启用令牌身份验证

         配置broker.conf

         authenticationEnabled=true

         authorizationEnabled=true

         authenticationProviders=org.apache.pulsar.broker.authentication.AuthenticationProviderToken

         tokenSecretKey=file:///data/apache-pulsar-2.4.2/my-secret.key

         #超级用户角色,拥有最高权限,多个使用逗号隔开

         superUserRoles=test-user

         brokerClientAuthenticationPlugin=org.apache.pulsar.client.impl.auth.AuthenticationToken

brokerClientAuthenticationParameters=token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIifQ.9OHgE9ZUDeBTZs7nSMEFIuGNEX18FLR3qvy8mqxSxXw

         4 重新启动Broker后,此时Broker服务已启动Token身份验证

            执行$ pulsar-admin tenants list命令会提示没有权限。

         5 配置client.conf 使用命令行工具有权限使用

            authPlugin=org.apache.pulsar.client.impl.auth.AuthenticationToken

            #此处配置的令牌是上边成生的超级管理员令牌

            authParams=token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIifQ.9OHgE9ZUDeBTZs7nSMEFIuGNEX18FLR3qvy8mqxSxXw

         6 重新启动Broker后,命令行工具可以正常使用

         7 java 客户端验证      

              PulsarClient client = PulsarClient.builder()

              .serviceUrl("pulsar://192.168.1.48:6650/")

              .authentication(              AuthenticationFactory.token("eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIifQ.9OHgE9ZUDeBTZs7nSMEFIuGNEX18FLR3qvy8mqxSxXw") .build();

        三 生成一般用户令牌,给客户端使用

            1 生成一个新角色(test-user1)令牌               

                bin/pulsar tokens create --secret-key file:///data/apache-pulsar-2.4.2/my-secret.key \

                --subject test-user1

               假设计成生的令牌是(eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIxIn0.HHpjQYfqqdUSN_iAw79qjsPqHyPFvscvGUANvjQNEOo)

            2 授权

               bin/pulsar-admin namespaces grant-permission my-tenant/my-namespace \

               --role test-user1 \

               --actions produce,consume

            3 JAVA 客户端验证,发送消息或接收消息正常说明成功               

               PulsarClient client = PulsarClient.builder()

              .serviceUrl("pulsar://192.168.1.48:6650/")

              .authentication(              AuthenticationFactory.token("eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIxIn0.HHpjQYfqqdUSN_iAw79qjsPqHyPFvscvGUANvjQNEOo") .build();


推荐阅读:
  1. Session与Token身份验证怎么实现
  2. node如何实现基于token的身份验证

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

pulsar token lsa pulsar

上一篇:人大:和清、北做不一样的AI

下一篇:巨杉Tech | 使用 SequoiaDB 分布式数据库搭建JIRA流程管理系统

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》