我的书签
添加书签
移除书签Client authentication using tokens based on JSON Web Tokens
你可以根据 Token 来识别 Pulsar 客户端。通过给 Token 关联一些 “principal” 或 “role”,可以用来授权客户端允许执行某些操作 (例如:发布消息主题或从主题消费消息) 。
用户通常需要从管理员(或某些自动化服务)获得 Token 字符串。
如下是一个简短的 JWT 签名字符串:
应用程序需要在创建客户端实例时,指定所使用的 Token。 一个替代方法是通过“令牌供应商”(即通过一个函数返回所需要的Token)。
, pulsar-client 使用 conf/client. onf 配置文件在 Pulsar 安装中。
你需要添加以下参数到该文件以使用 Pulsar 的 CLI 工具使用 Token 身份验证:
webServiceUrl=http://broker.example.com:8080/brokerServiceUrl=pulsar://broker.example.com:6650/authPlugin=org.apache.pulsar.client.impl.auth.AuthenticationTokenauthParams=token:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SY
Token 字符串也可以从文件中读取,例如:
authParams=file:///path/to/token/file
Pulsar 客户端
你可以使用 Token 对如下 Pulsar 客户端进行身份认证。
Java
Go
C++
C#
PulsarClient client = PulsarClient.builder() .serviceUrl("pulsar://broker.example.com:6650/") .authentication( AuthenticationFactory.token("eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SY")) .build();
同样,你也可以传入一个 Supplier:
PulsarClient client = PulsarClient.builder() .serviceUrl("pulsar://broker.example.com:6650/") .authentication( AuthenticationFactory.token(() -> { // 从通用的数据源读取 Token return readToken(); })) .build();
或者,您也可以通过 Supplier:
client, err := NewClient(ClientOptions{ URL: "pulsar://localhost:6650", Authentication: NewAuthenticationToken("eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SY"),})
同样,你也可以传入一个 Supplier:
client, err := NewClient(ClientOptions{ URL: "pulsar://localhost:6650", Authentication: NewAuthenticationTokenSupplier(func () string { // Read token from custom source return readToken() }),})
var client = PulsarClient.Builder() .AuthenticateUsingToken("eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SY") .Build();
启用 Token 认证
根据如下指南,可以在 Pulsar 集群中启用 Token 认证。
JWT 支持通过两种不同的秘钥,来生成和验证 Token:
- 对称秘钥:
- 使用单个 Secret key 来生成和验证 tokens。
- 非对称秘钥:包含由私钥和公钥组成的一对密钥。
- 使用 Private key 生成 Token。
- 使用 Public key 验证 Token。
使用 Secret key 时,由管理员创建这个 Secret key, 并使用该密钥生成客户端 Token。 为了能够验证客户端,还需要在 Broker 上配置这个 Key。
默认在 Pulsar 安装目录的根目录生成输出文件。 您也可以使用下面的命令为输出文件指定绝对路径。
$ bin/pulsar tokens create-secret-key --output my-secret.key
创建秘钥对
若需要使用公钥和私钥方式,需要先创建一对秘钥。 Pulsar 支持 Java JWT 库( 这里)支持的所有算法。
默认在 Pulsar 安装目录的根目录生成输出文件。 您也可以使用下面的命令为输出文件指定绝对路径。
$ bin/pulsar tokens create-key-pair --output-private-key my-private.key --output-public-key my-public.key
- 保存
my-private.key到一个安全的位置,只有管理员能使用my-private.key来生成新的 tokens。 my-public.key需要分发给所有 Pulsar brokers。 您可以公开共享此文件,不用担心安全问题。
A token is the credential associated with a user. 连接是通过 “principal” 或 “role” 完成的。 对于 JWT tokens,这个字段通常被称为 subject,尽管它们是完全相同的概念。
接下来,您需要使用这个命令来要求生成的具有一个 subject 字段的 token。
$ bin/pulsar tokens create --secret-key file:///path/to/my-secret.key \--subject test-user
命令将在 stdout 上打印出 token 字符串。
类似地,您可以通过下面的命令使用 “private” key 来创建一个 token。
$ bin/pulsar tokens create --private-key file:///path/to/my-private.key \--subject test-user
最后,你可以通过以下命令来创建一个带有过期时间的 Token。 Token 到期后会自动失效。
$ bin/pulsar tokens create --secret-key file:///path/to/my-secret.key \--expiry-time 1y
授权
Token 本身没有关联任何权限。 授权引擎确定 token 是否有权限。 一旦创建 token,就可以授予该 Token 执行某些操作的权限。 The following is an example.
$ bin/pulsar-admin namespaces grant-permission my-tenant/my-namespace \--role test-user \--actions produce,consume
要让 brokers 能对客户端进行身份认证,请在 中添加以下参数:
Proxy 启用 Token 认证
要让 Proxy 能对客户端进行身份认证,请在 proxy.conf 中添加以下参数:
# For clients connecting to the proxyauthenticationEnabled=trueauthorizationEnabled=trueauthenticationProviders=org.apache.pulsar.broker.authentication.AuthenticationProviderTokentokenSecretKey=file:///path/to/secret.key# For the proxy to connect to brokersbrokerClientAuthenticationPlugin=org.apache.pulsar.client.impl.auth.AuthenticationTokenbrokerClientAuthenticationParameters={"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIifQ.9OHgE9ZUDeBTZs7nSMEFIuGNEX18FLR3qvy8mqxSxXw"}# Or, alternatively, read token from file# brokerClientAuthenticationParameters={"file":"///path/to/proxy-token.txt"}# Whether client authorization credentials are forwared to the broker for re-authorization.# Authentication must be enabled via authenticationEnabled=true for this to take effect.
