Konfigurasikan otentikasi JWT untuk kontrol akses - Microservices Engine

JSON Web Token (JWT) digunakan untuk mengirimkan informasi secara aman antara klien dan server dalam format JSON. Informasi ini dapat diverifikasi dan dipercaya karena JWT ditandatangani menggunakan kode otentikasi pesan berbasis hash (HMAC) atau pasangan kunci publik/pribadi dari algoritma Rivest-Shamir-Adleman (RSA) atau Elliptic Curve Digital Signature Algorithm (ECDSA). Anda dapat menggunakan JWT untuk mengotentikasi pengguna dan melakukan kontrol akses.

Prasyarat

Anda memiliki pemahaman dasar tentang JWT. Untuk informasi lebih lanjut, lihat Pengenalan JSON Web Tokens.
Anda memahami cara layanan otorisasi terintegrasi dengan gateway cloud-native. Token diterbitkan oleh layanan otorisasi untuk memastikan keamanan, dan kunci publik dikonfigurasi untuk gateway cloud-native guna memvalidasi token.
Kunci pribadi dan kunci publik telah disiapkan. Kunci pribadi digunakan oleh layanan otorisasi untuk menerbitkan token, sedangkan kunci publik digunakan oleh gateway cloud-native untuk memvalidasi token dalam permintaan.

Informasi latar belakang

Untuk memberikan solusi keamanan sistematis bagi pengguna cloud, gateway cloud-native menyediakan mekanisme untuk akses terotorisasi ke API berdasarkan JWT. Mekanisme ini memungkinkan Anda menyesuaikan pengaturan keamanan sesuai kebutuhan.

Token-based authentication

Gateway cloud-native memverifikasi identitas pemohon yang melakukan panggilan API dan menentukan apakah akan mengembalikan sumber daya yang diminta. Token digunakan untuk otentikasi identitas. Dengan menggunakan token, aplikasi tidak perlu menyimpan informasi otentikasi pengguna atau informasi sesi di sisi server. Hal ini mendukung implementasi otorisasi aplikasi web tanpa status dan terdistribusi serta memfasilitasi perluasan aplikasi.

Supported integration method

Buat aturan otentikasi

Masuk ke Konsol MSE.
Di panel navigasi sebelah kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih wilayah.
Di halaman Gateways, klik ID gateway.
Di panel navigasi sebelah kiri, pilih Security Management > Global Authentication.

Di pojok kiri atas halaman Global Authentication, klik Create Authentication. Di panel Buat Otentikasi, konfigurasikan parameter dan klik OK.

Parameter	Deskripsi
Authentication Name	Masukkan nama untuk otentikasi.
Authentication Type	Pilih tipe otentikasi. Secara default, JWT dipilih.
Issuer	Masukkan penerbit klaim JWT.
Sub	Masukkan subjek klaim JWT.
JWKS	Masukkan kunci publik JWT. Contoh: `{ "keys":[ { "e":"AQAB", "kid":"DHFbpoIUqrY8t2zpA2qXfCmr5VO5ZEr4RzHU_-envvQ", "kty":"RSA", "n":"xAE7eB6qugXyCAG3yhh7pkDkT65pHymX- P7KfIupjf59vsdo91bSP9C8H07pSAGQO1MV_xFj9VswgsCg4R6otmg5PV2 He95lZdHtOcU5DXIg_pbhLdKXbi66Gl VeK6ABZOUW3WYtnNHD-91gVuoeJT_DwtGGcp4ignkgXfkiEm4sw- 4sfb4qdt5oLbyVpmW6x9cfa7vs2WTfURiCrBoUqgBo_-4WTiULmmHSG ZHOjzwa8WtrtOQGsAFjIbno85jp6MnGGGZ PYZbDAa_b3y5u-YpW7ypZrvD8BgtKVjgtQgZhLAGezMt0ua3D RrWnKqTZ0BJ_EyxOGuHJrLsn00fnMQ" } ] }`
JWT Token	Konfigurasikan token JWT. Type: Tipe token. Parameter ini diatur ke HEADER secara default. Key: Nama header permintaan tempat setiap token disimpan. Prefix: awalan token. Konfigurasikan parameter yang diperlukan untuk memverifikasi setiap token. Secara default, setiap token diawali dengan Bearer dan disimpan di header Authorization, contohnya, `Authorization: Bearer <Isi sebuah token>`. Enable Passthrough: Jika Anda memilih opsi ini, token dilewatkan ke layanan backend.
Authorization	Metode otorisasi. Nilai valid: Whitelist dan Blacklist. Daftar Putih: Hanya permintaan dengan nama domain host dan jalur yang Anda tentukan di daftar putih yang dapat mengakses gateway cloud-native tanpa otentikasi. Daftar Hitam: Hanya permintaan dengan nama domain host dan jalur yang Anda tentukan di daftar hitam yang memerlukan otentikasi. Klik + Rule Condition untuk menambahkan nama domain host dan jalur. Nama Domain: nama domain host yang memerlukan akses ke gateway cloud-native. Jalur: jalur yang memerlukan akses ke gateway cloud-native.

Lihat detail aturan otentikasi

Masuk ke Konsol MSE.
Di panel navigasi sebelah kiri, pilih Cloud-native Gateway > Gateways. Di bilah navigasi atas, pilih wilayah.
Di halaman Gateways, klik ID gateway.
Di panel navigasi sebelah kiri, pilih Security Management > Global Authentication.
Di halaman Global Authentication, temukan aturan otentikasi yang ingin Anda kueri dan klik Details di kolom Actions. Di halaman yang muncul, Anda dapat melihat informasi di bagian Basic Information dan Authentication Configuration, serta melihat dan mengelola informasi di bagian Authorization Information.
Untuk membuat aturan otorisasi, klik Add Authorization Information di bagian Authorization Information. Di kotak dialog Tambah Informasi Otorisasi, konfigurasikan parameter Request Domain Name dan Request Path.

Verifikasi hasilnya

Buka halaman Global Authentication. Jika aturan otentikasi berhasil dibuat, aturan tersebut akan ditampilkan di halaman Otentikasi Global.

Apa yang harus dilakukan selanjutnya

Anda dapat melakukan operasi berikut pada aturan otentikasi gateway cloud-native:

Aktifkan aturan otentikasi: Di halaman Global Authentication, temukan aturan otentikasi yang ingin Anda kelola dan klik Enable di kolom Actions.
Nonaktifkan aturan otentikasi: Di halaman Global Authentication, temukan aturan otentikasi yang ingin Anda kelola dan klik Disable di kolom Actions.
Ubah aturan otentikasi: Di halaman Global Authentication, temukan aturan otentikasi yang ingin Anda kelola dan klik Edit di kolom Actions.
Hapus aturan otentikasi: Di halaman Global Authentication, temukan aturan otentikasi yang ingin Anda kelola dan klik Delete di kolom Actions.

Catatan

Anda hanya dapat menghapus aturan otentikasi jika aturan tersebut dinonaktifkan.

Referensi

Untuk informasi lebih lanjut tentang mekanisme otentikasi lainnya, lihat Ikhtisar Otentikasi Gateway.