單點登錄（SSO）簡化了用戶體驗，使用戶能夠在訪問多個應用時只需一次登錄。這提高了用戶滿意度，減少了密碼遺忘的風險，同時增強了安全性。但是，實現(xiàn)單點登錄并不容易，需要應用程序?qū)崿F(xiàn)和認證服務器的交互邏輯，增加了應用程序的開發(fā)工作量。Envoy Gateway 在最新版本中的安全策略中提供了 OpenID Connect (OIDC) 的能力，采用 Envoy Gateway，無需對應用做任何修改，在十分鐘內(nèi)即可立刻實現(xiàn)單點登錄。

什么是單點登錄（SSO） ？

SSO 是 英文 Single Sign-On 的縮寫，翻譯為中文即為單點登錄。當采用單點登錄之后，用戶只需要登錄一次，就可以訪問多個應用系統(tǒng)。SSO 通常由一個獨立的身份管理系統(tǒng)來完成，該系統(tǒng)為每個用戶分配一個全局唯一的標識，用戶在登錄時，只需要提供一次身份認證，就可以訪問所有的應用系統(tǒng)。我們在使用一些網(wǎng)站時，經(jīng)常會看到“使用微信登錄”、“使用 Google 賬戶登錄”等按鈕，這些網(wǎng)站就是通過 SSO 來實現(xiàn)的。

采用單點登錄有以下幾個好處：

• ? 用戶只需要登錄一次，就可以訪問多個應用系統(tǒng)，不需要為每個應用系統(tǒng)都單獨登錄。
• ? 應用系統(tǒng)不需要自己實現(xiàn)用戶認證，只需將認證工作交給單點登錄系統(tǒng)，可以大大減少應用系統(tǒng)的開發(fā)工作量。

圖片

什么是 OpenID Connect (OIDC) ？

SSO 通常是通過 OpenID Connect (OIDC) 1 來實現(xiàn)的。OIDC 是一個基于 OAuth 2.0 2 協(xié)議之上的身份認證協(xié)議。

OAuth 2.0 協(xié)議本身是一個授權(quán)協(xié)議，OAuth 2.0 協(xié)議中的授權(quán)服務器（Authorization Server）負責對用戶進行身份認證，認證成功后，授權(quán)服務器會向客戶端頒發(fā)一個訪問令牌（Access Token），客戶端可以使用該令牌來訪問該用戶的受保護的資源。例如用戶可以通過 OAuth 2.0 授權(quán)一個第三方應用訪問其 Github 賬號下的代碼庫。Access Token 是一個透明的字符串，只有授權(quán)服務器才知道如何解讀?？蛻舳藭谠L問受保護資源時帶上 Acces Token，授權(quán)服務器根據(jù) Access Token 來判斷該請求是否有訪問指定資源的權(quán)限。Access Token 只用于對資源訪問進行授權(quán)，其中并沒有用戶身份信息。

OIDC 通過在 OAuth 2.0 協(xié)議之上增加了一個 ID Token 來實現(xiàn)身份認證。OIDC 的認證過程和 OAuth 2.0 的認證過程是一樣的，只是認證服務器在對用戶認證后向客戶端頒發(fā)的是一個 ID Token 而不是 Access Token。ID Token 是一個 JSON Web Token (JWT) 3，JWT Token 是一個標準的格式，其中包含了用戶的身份信息，例如用戶的唯一標識，用戶名，郵箱等，并且可以通過認證服務器的公鑰進行驗證，因此可以代表登錄的用戶身份。OIDC 通過 ID Token 來實現(xiàn)身份認證，從而實現(xiàn)了單點登錄。

備注：由于篇幅有限，本文對 OAuth 2.0 只做簡單介紹，如果感興趣的話，可以移步阮一峰老師的 OAuth 2.0 介紹 ? 系列文章進一步了解協(xié)議的原理。

Envoy Gateway OIDC 認證過程

Envoy Gateway 在最新版本中的安全策略中提供了 OIDC 的能力，可以通過 OIDC 來實現(xiàn)單點登錄。OIDC 標準支持通過 OAuth 2.0 中的 Authorization Code Flow，Implicit Flow，Hybrid Flow 三種方式來進行身份認證。Envoy Gateway 采用了其中最安全，也是最常用的 Authorization Code Flow ?。下圖展示了 Envoy Gateway OIDC 的認證過程。

圖片

• ? 當用戶訪問一個需要進行 OIDC 認證的 HTTPRoute 時，Envoy Gateway 會檢查請求中是否有代表用戶身份的 ID Token，如果沒有，或者 Token 已經(jīng)過期，則會將請求重定向到 OIDC Provider 的認證頁面。
• ? 用戶在 OIDC Provider 的認證頁面輸入用戶名和密碼等身份信息進行認證。認證成功后，OIDC Provider 會將用戶重定向到 Envoy Gateway 的回調(diào)地址，并且?guī)弦粋€ Authorization Code。
• ? Envoy Gateway 收到 OIDC Provider 的回調(diào)請求后，會將 Authorization Code 發(fā)送給 OIDC Provider，OIDC Provider 根據(jù) Authorization Code 生成一個 ID Token，并將 ID Token 返回給 Envoy Gateway。
• ? Envoy Gateway 收到 ID Token 后，會將 ID Token 保存在一個 Cookie 中，并將請求重定向到原來的 HTTPRoute。
• ? 當用戶再次訪問該 HTTPRoute 時，Envoy Gateway 會從 Cookie 中獲取 ID Token，驗證該 ID Token 合法，并且未過期后，Envoy Gateway 會將請求轉(zhuǎn)發(fā)給后端服務。

從圖中可以看到，雖然 OIDC 單點登錄的過程比較復雜，但都是由 Envoy Gateway 來完成的。對于應用程序來說，這個過程其實是無感知的，應用程序無需修改任何代碼，就可以實現(xiàn)單點登錄。

采用 Envoy Gateway 為應用實現(xiàn)單點登錄

采用 Envoy Gateway 可以簡化應用關(guān)于用戶登錄的實現(xiàn)，應用程序無需在代碼中實現(xiàn)和 OIDC Provicer 交互的相關(guān)邏輯，只需要在 Envoy Gateway 的安全策略中配置 OIDC 的相關(guān)參數(shù)，在十分鐘內(nèi)可實現(xiàn)應用的 OIDC SSO。下面我們通過一個例子來演示如何在 Envoy Gateway 中配置 OIDC。

配置 OIDC Provider

Envoy Gateway 支持所有實現(xiàn)了 OIDC 標準的 Identify Provider，包括 Google、微軟、Auth0、Okta、微信、微博等等。下面我們以 Google 賬戶登錄為例介紹如何為 Envoy Gateway 配置 OIDC SSO。

首先需要參照 Google 的 OpenID Connect 文檔 ? Google Cloud Platform 中創(chuàng)建一個 OAuth Client ID。

打開 Google Cloud Console 的 Credentials 界面，點擊 Create Credentials -> OAuth client ID，然后選擇 Web application，輸入應用的名稱，設置 Authorized redirect URLs 為 https://www.example.com/oauth2/callback，然后點擊 Create 按鈕創(chuàng)建 OAuth Client ID。

圖片

備注：Envoy Gateway 采用 %REQ(x-forwarded-proto)%://%REQ(:authority)%/oauth2/callback 作為默認的 OIDC 回調(diào)地址，因此需要將 Authorized redirect URLs 設置為 https://www.example.com/oauth2/callback。

創(chuàng)建成功后，會彈出一個頁面顯示創(chuàng)建的 OAuth client 的信息，記錄下其中的 Client ID 和 Client Secret，這兩個值將會用于后面的 Envoy Gateway 安全策略配置中。

圖片

配置 Envoy Gateway 安全策略

首先參照 Envoy Gateway Quickstart ? 安裝 Envoy Gateway 和例子程序。根據(jù) OIDC 規(guī)范的建議，Envoy Gateway 要求配置 OIDC 的 Listener 采用 HTTPS 協(xié)議，因此前參照 Secure Gateway ?為 Envoy Gateway 配置 HTTPS。

創(chuàng)建一個 Kubernetes Secret，用于存儲 OAuth Client 的 Client Secret。

注意將 ${CLIENT_SECRET} 替換為上面創(chuàng)建的 OAuth Client 的 Client Secret。

$ kubectl create secret generic my-app-client-secret --from-literal=client-secret=${CLIENT_SECRET}
secret "my-app-client-secret" created

然后在 Envoy Gateway 中配置 OIDC SSO，首先需要在 Envoy Gateway 中配置一個安全策略，該安全策略用于配置 OIDC SSO 的相關(guān)參數(shù)。

注意將 ${CLIENT_ID} 替換為上面創(chuàng)建的 OAuth Client 的 Client ID。

cat <<EOF | kubectl apply -f -
apiVersion: gateway.envoyproxy.io/v1alpha1
kind: SecurityPolicy
metadata:
  name: oidc-example
spec:
  targetRef:
    group: gateway.networking.k8s.io
    kind: HTTPRoute
    name: backend
  oidc:
    provider:
      issuer: "https://accounts.google.com"
    clientID: "${CLIENT_ID}.apps.googleusercontent.com"
    clientSecret:
      name: "my-app-client-secret"
EOF

上面短短十來行配置就會將 OIDC SSO 應用到名為 backend 的 HTTPRoute 上。這樣，當客戶端請求訪問該 HTTPRoute 時，就會被重定向到 Google 頁面進行用戶驗證 。除了 HTTPRoute，Envoy Gateway 還支持將 SecurityPolicy 應用到 Gateway 上，只要將 targetRef 指向 Gateway 即可。

驗證單點登錄

如果集群有對外暴露的 LoadBalancer，可以直接通過 LoadBalancer 的地址訪問 Envoy Gateway。如果集群沒有對外暴露的 LoadBalancer，可以通過 Port-Forward 的方式將 Gateway 的端口映射到本地，例如：

export ENVOY_SERVICE=$(kubectl get svc -n envoy-gateway-system --selector=gateway.envoyproxy.io/owning-gateway-namespace=default,gateway.envoyproxy.io/owning-gateway-name=eg -o jsnotallow='{.items[0].metadata.name}')

sudo kubectl -n envoy-gateway-system port-forward service/${ENVOY_SERVICE} 443:443

將 Envoy Gateway 的地址配置到 DNS 中，例如將 www.example.com 配置到 Envoy Gateway 的地址。

127.0.0.1 www.example.com

首先在瀏覽器中訪問 Envoy Gateway 的地址，例如 https://www.example.com，Envoy Gateway 會根據(jù) OIDC 的配置引導用戶進行登錄。瀏覽器會跳轉(zhuǎn)到 Google 的登錄頁面。

圖片

輸入 Google 賬戶的用戶名和密碼，登錄成功后，會跳轉(zhuǎn)到應用的首頁。

圖片

總結(jié)

單點登錄（SSO）簡化了用戶體驗，使用戶能夠在訪問多個應用時只需一次登錄。但是，實現(xiàn)單點登錄并不容易，需要應用程序?qū)崿F(xiàn)和認證服務器的交互邏輯，增加了應用程序的開發(fā)工作量。Envoy Gateway 在最新版本中的安全策略中提供了 OpenID Connect (OIDC) 的能力，采用 Envoy Gateway 的安全策略，讓應用程序無需修改任何代碼即可輕松實現(xiàn)基于 OIDC 的單點登錄（SSO）。

參考鏈接

1. 1. OpenID Connect (OIDC) 1：https://openid.net/specs/openid-connect-core-1_0.html
2. 2. OAuth 2.0 2：https://datatracker.ietf.org/doc/html/rfc6749
3. 3. JSON Web Token (JWT)3：https://jwt.io
4. 4. 阮一峰：OAuth 2.0 介紹?：https://www.ruanyifeng.com/blog/2019/04/oauth_design.html
5. 5. Authorization Code Flow ? ：https://datatracker.ietf.org/doc/html/rfc6749#section-4.1
6. 6. Google OpenID Connect 文檔 ?：https://developers.google.com/identity/openid-connect/openid-connect
7. 7. Envoy Gateway Quickstart ? ：https://gateway.envoyproxy.io/latest/user/quickstart
8. 8. Secure Gateway ?：https://gateway.envoyproxy.io/latest/user/secure-gateways