下文分两块以示例的方式来讲解两种登陆认证方式：

• 为 brand 命名空间下的 brand 用户创建 kubeconfig 文件
• 为集群的管理员（拥有所有命名空间的 amdin 权限）创建 token

如何生成文件请参考。

比如我们为 brand namespace 下的 brand 用户生成了名为 brand.kubeconfig 的 kubeconfig 文件，还要再该文件中追加一行 token 的配置（如何生成 token 将在下文介绍），如下所示：

对于访问 dashboard 时候的使用 kubeconfig 文件如brand.kubeconfig 必须追到 token 字段，否则认证不会通过。而使用 kubectl 命令时的用的 kubeconfig 文件则不需要包含 token 字段。

生成 token

需要创建一个admin用户并授予admin角色绑定，使用下面的yaml文件创建admin用户并赋予他管理员权限，然后可以通过token访问kubernetes，该文件见。

生成kubernetes集群最高权限admin用户的token

然后执行下面的命令创建 serviceaccount 和角色绑定，

kubectl create -f admin-role.yaml

创建完成后获取secret中token的值。

注意：yaml 输出里的那个 token 值是进行 base64 编码后的结果，一定要将 kubectl 的输出中的 token 值进行 base64 解码，在线解码工具 ，Linux 和 Mac 有自带的 base64 命令也可以直接使用，输入 base64 是进行编码，Linux 中base64 -d 表示解码，Mac 中使用 base64 -D。

我们使用了 base64 对其重新解码，因为 secret 都是经过 base64 编码的，如果直接使用 kubectl 中查看到的 token 值会认证失败，详见 secret 配置。关于 JSONPath 的使用请参考 。

更简单的方式是直接使用命令获取token的内容（经过base64解码之后）：

为普通用户生成token

为指定namespace分配该namespace的最高权限，这通常是在为某个用户（组织或者个人）划分了namespace之后，需要给该用户创建token登陆kubernetes dashboard或者调用kubernetes API的时候使用。

• $ROLEBINDING_NAME必须是该namespace下的唯一的
• admin表示用户该namespace的管理员权限，关于使用clusterrole进行更细粒度的权限控制请参考。
• 我们给默认的serviceaccount 分配admin权限，这样就不要再创建新的serviceaccount，当然你也可以自己创建新的serviceaccount，然后给它admin权限

参考