那些遇到过的问题

如何使用 Google IAP 对 JupyterHub 进行身份验证?

Fro*_*ire 1 jwt jupyterhub google-iap

我为我的 JupyterHub 应用程序配置了Google 的Identity-Aware Proxy,并想用它来验证我的用户。我该如何实现?

Fro*_*ire 5

Google 将签名的 JWT 标头传递给前面带有 IAP 的应用程序,如使用签名标头保护您的应用程序中所述。您可以使用mogthesprog/jwtauthenticatorJupyterHub中启用基于 JWT 的身份验证。

配置通过 jupyterhub_config.py

一次 jupyterhub-jwtauthenticator安装在您的JupyterHub服务器上,添加以下配置:

jupyterhub_config.py

c.JupyterHub.authenticator_class = 'jwtauthenticator.jwtauthenticator.JSONWebTokenAuthenticator'
c.JSONWebTokenAuthenticator.header_name = 'x-goog-iap-jwt-assertion'
c.JSONWebTokenAuthenticator.header_is_authorization = False
c.JSONWebTokenAuthenticator.expected_audience = '/projects/PROJECT_NUMBER/global/backendServices/SERVICE_ID`
c.JSONWebTokenAuthenticator.username_claim_field = 'email'

# Retrieved from https://www.gstatic.com/iap/verify/public_key
c.JSONWebTokenAuthenticator.secret = """
{
   "2nMJtw" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE9e1x7YRZg53A5zIJ0p2ZQ9yTrgPL\nGIf4ntOk+4O2R2+ryIObueyenPXE92tYG1NlKjDNyJLc7tsxi0UUnyxpig==\n-----END PUBLIC KEY-----\n",
   "6BEeoA" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAElmi1hJdqtbvdX1INOf5B9dWvkydY\noowHUXiw8ELWzk/YHESNr8vXQoyOuLOEtLZeCQbFkeLUqxYp1sTArKNu/A==\n-----END PUBLIC KEY-----\n",
   "FAWt5w" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE8auUAdTS54HmUuIabrTKvWawxmbs\n81kdbzQMV/Tae0EhLgin8qnJ4lklJrxEzksXg5OtBuzE62DIj+CePN20Pg==\n-----END PUBLIC KEY-----\n",
   "LYyP2g" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAESlXFFkJ3JxMsXyXNrqzE3ozl/091\n3PmNbccLLWfeQFUYtJqGtl8ESuYxRwc/QwZp5Wcl0HCq6GuFDx4/Tk18Ig==\n-----END PUBLIC KEY-----\n",
   "f9R3yg" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAESqCmEwytkqG6tL6a2GTQGmSNI4jH\nYo5MeDUs7DpETVhCXXLIFrLg2sZvNqw8SGnnonLoeqgOSqRdjJBGt4I6jQ==\n-----END PUBLIC KEY-----\n"
}
"""
Run Code Online (Sandbox Code Playgroud)

配置通过 zero-to-jupyterhub-k8s

如果您使用zero-to-jupyterhub-k8s在 Kubernetes 集群中配置 JupyterHub,您首先需要将jupyterhub-jwtauthenticator包烘焙到您的中心映像中。

使用以下Dockerfilecloudbuild.yaml在目录中,gcloud builds submit --config cloudbuild.yaml .使用适当的项目执行。

文件

FROM jupyterhub/k8s-hub:0.7.0

RUN pip3 install --no-cache-dir jupyterhub-jwtauthenticator
Run Code Online (Sandbox Code Playgroud)

云构建.yaml

steps:
- name: 'gcr.io/cloud-builders/docker'
  args: [ 'pull', 'docker.io/jupyterhub/k8s-hub:0.7.0' ]
- name: 'gcr.io/cloud-builders/docker'
  args: [ 'build', '-t', 'gcr.io/$PROJECT_ID/k8s-hub', '.' ]
images:
- 'gcr.io/$PROJECT_ID/k8s-hub'
Run Code Online (Sandbox Code Playgroud)

值.yaml

hub:
  image:
    name: gcr.io/<project>/k8s-hub
    tag: latest
auth:
  type: custom
  custom:
    className: 'jwtauthenticator.jwtauthenticator.JSONWebTokenAuthenticator'
    config:
      header_name: x-goog-iap-jwt-assertion
      header_is_authorization: false
      expected_audience: '/projects/PROJECT_NUMBER/global/backendServices/SERVICE_ID'
      username_claim_field: email
      # Retrieved from https://www.gstatic.com/iap/verify/public_key
      secret: |
        {
           "2nMJtw" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE9e1x7YRZg53A5zIJ0p2ZQ9yTrgPL\nGIf4ntOk+4O2R2+ryIObueyenPXE92tYG1NlKjDNyJLc7tsxi0UUnyxpig==\n-----END PUBLIC KEY-----\n",
           "6BEeoA" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAElmi1hJdqtbvdX1INOf5B9dWvkydY\noowHUXiw8ELWzk/YHESNr8vXQoyOuLOEtLZeCQbFkeLUqxYp1sTArKNu/A==\n-----END PUBLIC KEY-----\n",
           "FAWt5w" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE8auUAdTS54HmUuIabrTKvWawxmbs\n81kdbzQMV/Tae0EhLgin8qnJ4lklJrxEzksXg5OtBuzE62DIj+CePN20Pg==\n-----END PUBLIC KEY-----\n",
           "LYyP2g" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAESlXFFkJ3JxMsXyXNrqzE3ozl/091\n3PmNbccLLWfeQFUYtJqGtl8ESuYxRwc/QwZp5Wcl0HCq6GuFDx4/Tk18Ig==\n-----END PUBLIC KEY-----\n",
           "f9R3yg" : "-----BEGIN PUBLIC KEY-----\nMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAESqCmEwytkqG6tL6a2GTQGmSNI4jH\nYo5MeDUs7DpETVhCXXLIFrLg2sZvNqw8SGnnonLoeqgOSqRdjJBGt4I6jQ==\n-----END PUBLIC KEY-----\n"
        }
Run Code Online (Sandbox Code Playgroud)

自动检索 IAP 公钥

如果您不想将 IAP JWT 令牌的公钥烘焙到您的配置中,您可以在运行时通过您的jupyterhub_config.pyextraConfig在舵图中检索这些。

jupyterhub_config.py

from urllib import request
c.JSONWebTokenLocalAuthenticator.secret = request.urlopen('https://www.gstatic.com/iap/verify/public_key').read()
Run Code Online (Sandbox Code Playgroud)

对于zero-to-jupyterhub-k8s

values.yaml

hub:
  extraConfig:
    config-jwtauthenticator: |
      from urllib import request
      c.JSONWebTokenLocalAuthenticator.secret = request.urlopen('https://www.gstatic.com/iap/verify/public_key').read()
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

399 次

最近记录:

6 年,6 月 前
相关归档
未定义Auth防护驱动程序[api].Lumen,Dingo,JWTAuth 8
dart flutter httpclient:授权 7
将 WebAPI JWT 访问令牌作为加密的 FormsAuthenticationTicket 存储在 Response.Cookies(在 asp.net mvc 中)是否安全 5
签名密钥、证书和客户端机密混淆 5
从 ASP.NET Core 3.1 升级到 ASP.NET 5.0 后,User.Claims 为空 5
.Net 6 的 System.IdentityModel.Tokens.Jwt 的自定义对象 JSON 序列化实现是否存在问题? 5
如何在 jwt-simple 中使令牌过期? 4
io.jsonwebtoken.SignatureException:JWT 签名与本地计算的签名不匹配 3
用于 JWT 验证的 Google 公钥在哪里? 3
在 Laravel 微服务中解码 JWT 并创建经过身份验证的用户,与本地用户数据合并 1
难疑归档
在Python中调用外部命令 4553
使用CSS更改HTML5输入的占位符颜色 3876
如何在Python中连接两个列表? 2250
原子和非原子属性之间有什么区别? 1828
常规演员与static_cast与dynamic_cast 1661
如何在Python中通过索引从列表中删除元素? 1381
Git diff对付藏匿处 1265
使用react路由器以编程方式导航 1251
将先前的提交分解为多个提交 1113
如何将命令行参数传递给rake任务 1065