Request Authentication Policy会验证JSON Web Token(JWT)中几个关键字段的值
请求中token所处的位置
Issuer或者请求
公共的JWKS
Istio检查token的方法
若请求报文针对request authentication policy中的rules提供了token,Istio将会核验这些token,并会拒绝无效的token;
但Istio默认会接受那些并未提供token的请求;若需要拒绝该类请求,则要通过相应的“授权”规则完成,由这类规则负责完成针对特定操作的限制;
Request Authentication Policy的生效机制
每个JWT均使用了惟一的location时,Request Authentication Policy上甚至可以指定多个JWT;
多个policy匹配到了同一个workload时,Istio会将这多个policy上的规则进行合并;
目前,请求报文上尚不允许附带一个以上的JWT
Request Authentication也就是最终用户认证的使用实例,最终用户认证的最核心目标其实就是能够实现让网格外部的对应于的现实中的人来访问网格内部某些对应的服务的时候能够对其进行认证,这里的JWT多数情况下很有可能就代表着人通过浏览器提