带有通配符的 Istio 授权策略

2023-11-24

授权策略不支持路径上的任何通配符模式吗？

我有以下端点：

/my-service/docs/active (GET)
/my-service/docs/<id>/activate/<bool> (PUT)

第一个将获取所有活动文档，第二个将激活/停用特定文档。我尝试将其设置在授权策略上，但由于 willdcard 的原因，它似乎忽略了此策略。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: my-service-private
  namespace: default
spec:
  action: DENY
  selector:
    matchLabels:
      app:my-service
  rules:
    - from:
        - source:
            notNamespaces: [ "default" ]
      to:
        - operation:
            methods: ["GET"]
            paths: ["/my-service/docs/active"]
        - operation:
            methods: ["PUT"]
            paths: ["/my-service/docs/*/activate/*"]

除了更新我的所有端点之外，还有什么不同的解决方案吗？

10x

正如我在评论中提到的

根据 istio文档:

Rule

规则匹配来自执行列表的源列表的请求操作须遵守一系列条件。匹配发生在至少有一个来源、操作和条件符合请求。一个空规则始终匹配。

规则中的任何字符串字段都支持精确、前缀、后缀和存在匹配：

精确匹配：“abc”将匹配值“abc”。

前缀匹配：“abc*”将匹配值“abc”和“abcd”。

后缀匹配：“*abc”将匹配值“abc”和“xabc”。

存在匹配：当值不为空时，“*”将匹配。

所以授权策略确实支持通配符，但我认为问题在于*/activate/*路径，因为路径只能在开头、结尾或整个字符串使用通配符，所以双通配符不起作用。

有相关的开放 github 问题：

https://github.com/istio/istio/issues/16585
https://github.com/istio/istio/issues/25021

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Authorization

istio

带有通配符的 Istio 授权策略的相关文章

如何以轻松的方式实现身份验证？

我正在使用 python 在网络应用程序谷歌应用程序引擎上构建图片日记用户可以注册并将照片发布到他们的日记中另外我正在尝试尽可能地遵循 REST 架构 Web 应用程序的身份验证方案基于以下形式 1 从前端发布用户名密码2 认证成功
无需登录的 Vimeo API AuthorizationUrl

我正在使用 Vimeo API 在 Web 应用程序上下文中获取视频我有一个简单的问题我希望 P 可以使用 oAuth 协议并通过以下链接请求应用程序授权 https vimeo com oauth authorize oauth to
通过 Istio 入口网关的 TLS 握手失败 (tlsMode=passthrough)

从外部客户端到 Kubernetes 集群内服务器的 TLS 握手失败这是关于理解原因我已将 Istio 入口网关配置为通过端口 15433 上收到的 TLS 并将其路由到端口 433 上的服务器入口网关日志显示客户端尝试 TLS 握
不支持的授权类型 Salesforce OAUTH2

我正在使用 VBA 在 Salesforce 中获得授权然后最终想要运行 Salesforce 报告并将结果转储到 Excel 中我已编写以下内容来处理授权但收到 unsupported grant type 错误到目前为止我的代码
数据库独立的行级安全解决方案

有人知道 Java C 数据库独立授权库吗该库应支持跨公司组织结构的读写删除插入操作像这样的东西用户可以查看所有文档用户可以输入分配给他的单位的新文档用户可以更改分配给他的单位和所有下属单位的所有文档用户可以删除分配给他的
Istio 入口网关：404 NRroute_not_found

我想配置一个 Istio 入口网关它根据 HTTP 路径的前缀将流量路由到不同的服务例如 HTTP 流量路径我的服务应路由至服务我的服务到目前为止我已经创建了以下 YAML 配置 apiVersion apps v1 kind D
Istio 直接 Pod 到 Pod 通信

我在使用 Istio 部署的 Pod 与 Pod 进行通信时遇到问题我实际上需要它与 Istio 合作进行 Hazelcast 发现 https github com hazelcast hazelcast kubernetes issu
由于 istio-sidecar 注入，Kubernetes 部署失败

我们的 K8 集群工作了一年多最近它出现了一些奇怪的行为现在当我们使用kubectl apply f deployment manifest yaml 它没有显示在kubectl get pods 但显示在kubectl get dep
ASP.NET MVC - 角色提供程序的替代方案？

我试图避免使用角色提供程序和成员资格提供程序因为在我看来它太笨拙了因此我试图制作自己的版本它不那么笨拙并且更易于管理灵活现在我的问题是除了角色提供者之外还有其他不错的选择吗我知道我可以自定义角色提供者会员提供者等通过更
Istio 允许所有出口流量

如何允许 Istio 的所有出站流量我尝试了以下方法禁用出口网关并使用 set global proxy includeIPRanges 0 0 0 0 0 0 0 0 0 0 绕过 sidecar 所有选项都不起作用值得一提的是我
无法使用 minikube 设置 Istio

我按照 Istio 的官方文档为带有 minikube 的示例 bookinfo 应用程序设置了 Istio 但我得到了无法连接到服务器 net http TLS 握手超时错误这些是我遵循的步骤我安装了 kubectl 和 miniku
将策略应用到资源控制器

我有一个CRUD资源定义通过Route resource User UserController 既然可以生成CRUDGates and Policies 有没有办法应用这样的Gate Policy 以便将相应的Gate Policy应用于
Android：GoogleIdTokenVerifier.Builder 中的 Transport 和 jsonFactory 是什么？

在下面的代码中什么是transport and jsonFactory 我不明白 https developers google com identity sign in android backend auth using a goog
ASP.NET Web 应用程序中的身份验证遇到问题

我正在尝试对从登录页面登录我的 Web 应用程序的用户进行身份验证我正在使用本教程 http support microsoft com kb 301240作为指南它几乎准确地解释了我希望做什么但是当我输入用户名和密码时验证不起作用
ASP.NET MVC：从变量设置授权属性角色时出现问题，需要 const

我在从变量设置授权属性角色值时遇到问题错误消息表明它需要一个 const 变量当我创建 const 类型变量时它工作正常但我试图从 Web Config 文件或其他允许最终用户设置它的文件中加载值我正在使用集成 Windows 身
将授权放在服务层而不是Web API层

我正在使用 NET Core Web API 构建 REST API 我的控制器只是将请求转发到服务层并返回结果 HttpPost nameof Create public async Task
Istio：RequestAuthentication jwksUri 无法解析内部服务名称

Notice 其根本原因与Istio 当我启用 JWT RequestAuthentication 时运行状况检查 sidecar 失败 https stackoverflow com questions 66446178 istio h
HttpURLConnection.getResponseCode() 冻结执行/不会超时

我正在编写一个 Android 应用程序它连接到受密码保护的 cPanel 服务器 Apache 2 2 22 页面当身份验证凭据正确时我的连接没有问题但是当凭据不正确时我的 Android 应用程序似乎会冻结在HttpURLC
Mongoose 模型 update() 与 save()

有一个关于问题update vs save https stackoverflow com questions 39010045 mongoose update vs save 但它针对的是一些不同的东西我猜纯粹相关mongoose S
使用 Apache HTTPd 模块的 OAuth 2.0 身份验证

是否可以使用 Apache HTTPd 服务器模块来实现 OAuth 2 0 或 1 0 我选择这条路线是因为每个请求都会首先到达 HTTPd 模块因此我必须从那里进行身份验证如果可能的话请分享相关链接我要补充一下尤金尼奥的答案mo

随机推荐

如何有效地处理 maven-3 带时间戳的快照？

现在 maven 3 做到了放弃支持对于快照工件的 false 您似乎确实需要使用带时间戳的快照特别是 m2eclipse 它在内部使用 maven 3 似乎受到它的影响当快照不唯一时更新快照不起作用看起来最好之前练习将所有快照设置
如何使用Excel VBA获取新插入记录的id？

这似乎是一个很常见的问题但大多数解决方案都涉及连接多个 SQL 命令我相信这是 ADO VBA 无法完成的不过我很高兴在这方面被证明是错误的我当前插入新记录然后使用我希望足够的字段运行选择查询以保证仅返回新插入的记录我的
左连接 Django ORM

我有以下型号 class Volunteer models Model first name models CharField max length 50L last name models CharField max length 50L
MSDeploy 无法部署手动压缩包

早些时候我使用 msbuild exe 构建和部署 Web 项目现在我想在部署之前修改一些文件所以我使用msbuild制作一个 zip包然后解压缩它修改一些文件然后再次压缩它并尝试使用msdeploy进行部署问题是它部署空文件夹
在 Xcode ios 8.1 中通话时启用和禁用扬声器

我需要在从应用程序呼叫时启用扬声器我可以成功启用它但无法禁用它我正在使用这个方法 UIDevice currentDevice setProximityMonitoringEnabled NO NSLog d enable UInt3
如何将具有不同第二类型的“std::pair”的可变数量传递给函数

抱歉由于问题的复杂性无法解释标题本身的主要问题需要通过各种类型的std pair如下所示的方法 foo 1 1 2 2 2 3 3 first is always int 但是我无法找出语法如何定义foo 使用可变参数模板这更多的
在 .NET Core 中将 Word doc 和 docx 格式转换为 PDF，无需 Microsoft.Office.Interop

我需要显示Word doc and docx浏览器中的文件没有真正的客户端方法可以执行此操作并且由于法律原因这些文档无法与 Google 文档或 Microsoft Office 365 共享浏览器不能显示Word 但可以显示PDF
izpack：在 Windows 上创建快捷方式

我使用 izpack 为我的应用程序创建安装程序到目前为止我已经能够创建安装程序并且在我的 Linux 机器上一切都很好问题是在我测试的 Windows 机器上 Win7 和 WinXP 安装程序没有显示快捷方式面板我确实阅读了
如何将 pyw 文件转换为 exe？

我怎样才能转换pyw文件至exe使用 pyinstaller 如果不可能我该如何使用 py2exe 来做到这一点我在用python 3 只需运行以下命令 pyinstaller w your file name pyw 注意运行上述命
使用 Python 对多部分电子邮件进行 PGP 签名

我目前正在尝试添加 PGP 签名支持我的小电子邮件发送脚本它使用 Python 3 x 和python gnupg模块签署消息的代码是 gpg gnupg GPG basetext basemsg as string replace n
Python、IMAP 和 GMail。将消息标记为已读

我有一个 python 脚本它必须获取未见的消息对其进行处理然后标记为已见或已读我在登录后执行此操作 typ data self server imap server search None UNSEEN for num in d
Spring OAuth2刷新令牌在刷新访问令牌后发生变化

我创建了一个身份验证服务器和资源服务器两者都工作正常唯一的问题是刷新令牌我希望它在调用后更改POST oauth token with grant type refresh token但是 spring 返回相同的刷新令牌我想知道在
Java 中带有 null 参数的 Varargs

以下代码仅使用空引用作为可变参数参数 package currenttime import java util Arrays public class Main private static void temp String str Sys
BitmapFactory：无法解码流：java.io.FileNotFoundException，即使文件实际上存在

我正在创建一个简单的应用程序来拍照这是我的代码 Button b1 ImageView iv String TAG MAIN ACTIVITY File photo private Uri mImageUri private File c
Facebook API OAuthException：“发生意外错误。尝试检索特定于页面的访问令牌时，请稍后重试您的请求”

我希望我的应用程序能够将状态更新发布到特定页面我已经设置了一个应用程序并检索了其应用程序 ID 并且我正在遵循 Facebook 身份验证文档底部的页面登录部分here 第一阶段用户授予应用程序manage page许可似乎工作得
在android中使用GMail发送电子邮件

我试图通过单击按钮直接打开 Gmail 的电子邮件发送形式但这始终显示发送电子邮件的选项列表我这样做是为了打开 GMail 表单 Intent emailIntent new Intent android content Intent
如何从命令行测试 SQL 的有效性？

是否有一个好的工具可以确保 SQL 查询是有效的 ANSI SQL 并且可以选择哪些 DBMS 无法解释它我发现了http developer mimer com validator但我想知道是否有命令行工具最好是开源的这里有一个SQ
Chrome 扩展 - 未设置基本 href。请为 APP_BASE_HREF 提供一个值

我正在构建一个 Chrome 浏览器操作扩展我正在尝试将 Angular 2 应用程序加载到 Chrome 的弹出窗口中我在使用 Angular 1 5 之前已经这样做过但尝试使用 Angular 2 并收到错误未处理的 Promi
如何使用情感样式与 MUI v5 一起使用条件样式

我正在从 MUI v4 迁移到 v5 在 v4 中我使用的是clsx with TextField添加条件样式 export const useStyles makeStyles theme Theme gt createStyles ro
带有通配符的 Istio 授权策略

授权策略不支持路径上的任何通配符模式吗我有以下端点 my service docs active GET my service docs

带有通配符的 Istio 授权策略

Rule

带有通配符的 Istio 授权策略 的相关文章

随机推荐

热门标签

带有通配符的 Istio 授权策略的相关文章