1. Zuhause
  2. Frage und Antwort
  3. Wie man Knox so konfiguriert, dass es den Berechtigungsheader an einen Backend-Dienst weiterleitet?

Wie man Knox so konfiguriert, dass es den Berechtigungsheader an einen Backend-Dienst weiterleitet?

2017-10-14 2 views
1

Wie in meiner Frage other diskutiert, gibt es keine Unterstützung für WebSockets-Authentifizierung in Knox, aber als temporäre Lösung konnten wir Authentifizierung in unserem Back-End-Service behandeln. Unser Test hat jedoch gezeigt, dass Knox den Berechtigungsheader nicht an das Backend übergibt.Wie man Knox so konfiguriert, dass es den Berechtigungsheader an einen Backend-Dienst weiterleitet?

[client]$ curl -i -u '<user>:<password>' https://knox-server/gateway/default/myservice/ping 

# 8090 is our backend port 
[knox-server]$ ngrep -W byline port 8090 
interface: eth0 
filter: (port 8090) and ((ip || ip6) || (vlan && (ip || ip6))) 

# 
T <knox-server>:59118 -> <myservice>:8090 [AP] 
GET /ping?doAs=<user> HTTP/1.1. 
X-Forwarded-For: <client>. 
X-Forwarded-Proto: https. 
X-Forwarded-Port: 443. 
X-Forwarded-Host: <knox-server>. 
X-Forwarded-Server: <knox-server>. 
X-Forwarded-Context: /gateway/default. 
User-Agent: curl/7.54.0. 
Accept: */*. 
Host: <myservice>:8090. 
Connection: Keep-Alive. 
Accept-Encoding: gzip,deflate. 
. 

# 
T <myservice>:8090 -> <knox-server>:59118 [AP] 
HTTP/1.1 200 OK. 
Date: Sat, 14 Oct 2017 14:27:58 GMT. 
X-Application-Context: myservice:prod:8090. 
Content-Type: text/plain;charset=utf-8. 
Content-Length: 4. 
. 
PONG

Wie konfiguriere ich das Knox (0.12.0 von HDP 2.6.2), um es Authorization-Header an das Backend für WebSocket-Verbindung übergehen zu lassen?

Quelle

2017-10-14 tomek

Antwort

1

Während ich diese Frage schrieb, erkannte ich, dass es ein Ticket KNOX-895 gibt, das das Problem der Übergabe von Cookies und Kopfzeilen an einen Back-End-Dienst in Knox 0.14.0 löst.

[EDIT]

I geklont knox git repo (commit 92b1505a), die KNOX-895 enthält (2d236e78), führen sie lokal mit zugesetztem websocket Dienst Sandbox-Topologie.

[tulinski]$ wscat -n --auth 'user:password' -c wss://localhost:8443/gateway/sandbox/echows 
[tulinski]$ sudo ngrep -W byline host echo.websocket.org 
# 
T 192.168.0.16:59952 -> 174.129.224.73:80 [AP] 
GET/HTTP/1.1. 
Host: echo.websocket.org. 
Upgrade: websocket. 
Connection: Upgrade. 
Sec-WebSocket-Key: Z4Qa9Dxwr6Qvq2QAicsT5Q==. 
Sec-WebSocket-Version: 13. 
Pragma: no-cache. 
Cache-Control: no-cache. 
Authorization: Basic dXNlcjpwYXNzd29yZA==. 
. 

## 
T 174.129.224.73:80 -> 192.168.0.16:59952 [AP] 
HTTP/1.1 101 Web Socket Protocol Handshake. 
Connection: Upgrade. 
Date: Mon, 16 Oct 2017 14:23:49 GMT. 
Sec-WebSocket-Accept: meply+6cIyjbH+Vk2OsAqKJDWic=. 
Server: Kaazing Gateway. 
Upgrade: websocket. 
.

Authorization-Header wird an den Back-End-Dienst übergeben.

Quelle

2017-10-14 14:46:06 tomek

Verwandte Themen

 Verwandte Themen