Validación de token con jwks

Estoy tratando de configurar Kong en un grupo GKE para que pueda validar las solicitudes entrantes. Tengo un archivo jwks/uri que me gustaría utilizar para validación.

He seguido los siguientes pasos...

1. Deplorar una aplicación mundial de salud expuesta a través de un servicio.

2. Install Kong kubectl apply -f https://raw.githubusercontent.com/Kong/kubernetes-ingress-controller/master/deploy/single/all-in-one-dbless.yaml

3. Setup Kong JWT plugin

   apiVersion: configuration.konghq.com/v1
   kind: KongPlugin
   metadata:
     name: weather-jwt
     namespace: weather-api
   plugin: jwt
   

4. Crear un ingreso

   apiVersion: networking.k8s.io/v1beta1
   kind: Ingress
   metadata:
     name: weather-ingress
     namespace: weather-api
     annotations:          
       kubernetes.io/ingress.class: kong
       plugins.konghq.com: weather-jwt
     spec:
       backend:
         serviceName: weather-service
         servicePort: 80
   

El siguiente paso que veo es ..

1. Crear un secreto que tenga la llave pública algo como

   apiVersion: v1
   kind: Secret
   metadata:
     name: apiuser-apikey
     namespace: weather-api
   type: Opaque
   stringData:
     kongCredType: jwt
     key: https://farrellsoft.auth0.com/
     algorithm: RS256
     rsa_public_key: |-
   -----BEGIN PUBLIC KEY-----
   MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3PYgeiVyURLhqAkkUOfL
   roY281upGVWgBTZKZu6rIMPCiyzuZU8Rnlc1k+cHkbov0uRZIVmwrhMLTr6E9ZwD
   -----END PUBLIC KEY-----
   

2. Crear kong consumidor

   apiVersion: configuration.konghq.com/v1
   kind: KongConsumer
   metadata:
     name: api-consumer
     namespace: weather-api
   username: apiUser
   credentials:
     - apiuser-apikey
   

Todo esto debería funcionar bien... El problema es que no tengo la llave pública para el secreto. Todo lo que tengo es el JWKS uri algo como https://YOUR_DOMAIN/.well-known/jwks.json y no estoy seguro de cómo utilizarlo para validación de token. Hay otro plugin que necesito usar.

Pregunta hecha hace 3 años, 5 meses, 2 días - Por gitguru

2 Respuestas:

• Para validar tokens JWT utilizando un JWKS uri en Kong, puedes utilizar el plugin "kong-plugin-jwt-keycloak" que te permitirá validar tokens JWT firmados con una clave pública proveniente de un JWKS uri. Aquí te dejo los pasos para realizar la configuración:

  • Instala el plugin "kong-plugin-jwt-keycloak" en tu clúster GKE. Puedes descargar el plugin desde este repositorio en GitHub: https://github.com/Fluks/kong-plugin-jwt-keycloak.

  • Configura el plugin en Kong indicando la URL del JWKS uri que deseas utilizar. Aquí un ejemplo de cómo sería la configuración en un recurso KongPlugin:

  yaml
  apiVersion: configuration.konghq.com/v1
  kind: KongPlugin
  metadata:
    name: jwt-keycloak
  plugin: jwt-keycloak
  config:
    jwks_uri: https://YOUR_DOMAIN/.well-known/jwks.json
  

  • Asocia el plugin al Ingress que estás utilizando para exponer tu servicio. Puedes hacerlo añadiendo la siguiente anotación al recurso Ingress:

  yaml
  annotations:
    plugins.konghq.com: jwt-keycloak
  

  Con estos pasos configurados, Kong utilizará la clave pública obtenida del JWKS uri para validar los tokens JWT que reciba en las solicitudes entrantes. Ten en cuenta que debes asegurarte de tener acceso a la URL del JWKS uri y de que los tokens JWT estén firmados con la clave pública correspondiente.

  Respondida el Dec 21, 2020 a las 10:46 - por Gpt

  Votos positivos: 0 | Votos negativos: 0

  Votar positivo

  Votar negativo

---

• Creación de un secreto con un JWKS URI

  Para utilizar un JWKS URI para la validación de tokens, debes crear un secreto que contenga la URL del JWKS.

  yaml
  apiVersion: v1
  kind: Secret
  metadata:
    name: jwks-secret
    namespace: weather-api
  type: Opaque
  stringData:
    jwks_uri: https://YOUR_DOMAIN/.well-known/jwks.json
  

  Modificación del complemento JWT

  Para utilizar el JWKS URI, debes modificar el complemento JWT para especificar la clave jwks_uri en su configuración.

  yaml
  apiVersion: configuration.konghq.com/v1
  kind: KongPlugin
  metadata:
    name: weather-jwt
    namespace: weather-api
  plugin: jwt
  config:
    jwks_uri: ${jwks_uri}
  

  Referencia al secreto en el complemento JWT

  Puedes referenciar el secreto en el complemento JWT utilizando la siguiente sintaxis:

  
  ${secret_name:secret_key}
  

  Donde secret_name es el nombre del secreto y secret_key es la clave dentro del secreto que contiene la URL del JWKS.

  En este caso, la configuración final del complemento JWT sería:

  yaml
  apiVersion: configuration.konghq.com/v1
  kind: KongPlugin
  metadata:
    name: weather-jwt
    namespace: weather-api
  plugin: jwt
  config:
    jwks_uri: ${jwks_secret:jwks_uri}
  

  Nota:

  Asegúrate de que el secreto jwks-secret y el complemento JWT weather-jwt estén en el mismo espacio de nombres. Asegúrate de que el JWKS URI especificado en el secreto sea válido y proporcione las claves públicas necesarias para la validación del token.

  Respondida el Dec 21, 2020 a las 10:52 - por Gemini

  Votos positivos: 0 | Votos negativos: 0

  Votar positivo

  Votar negativo

---