0 - 前言

最近在开发过程中，有个业务需求是：在我们的平台 web 页面里嵌入一个在线编辑器（比如 vscode，jupyterlab 等）。

在线编辑器，比较好搞定，网上有现成的开源组件可以实现。

在 web 页面里嵌入在线编辑器，通过 iframe 载入在线编辑器的链接也可以实现，问题不大。

但是，进一步的需求是：在线编辑器只允许通过我们平台的 web 页面进入，当在别的浏览器或者别的电脑上通过在线编辑器链接访问时，无法进入在线编辑器。

这个需求是合理且必要的。从安全的角度看，如果在线编辑器的链接在任何地方都可以访问进入，一旦该链接被泄露，那么所有获得该链接的人，都能直接访问其在线编辑器，对里面的内容进行操作，会存在严重的数据泄露、文件被恶意篡改等问题。

1 - 方案

对通过iframe嵌入的第三方应用的鉴权，大抵可以分为两个方向：

1. 借助于第三方应用自带的鉴权系统，如通过账号密码或者token登录；
2. 将第三方应用纳入到现有平台的鉴权体系里。

第一种方案，是最容易想到且比较容易实现的。只需要借助第三方应用的自定义配置文件，即可完成鉴权功能。但是该方案有一定的缺点：

1. 兼容性不好：不同的第三方应用，鉴权方式不一样，有些是通过用户名密码登录（如 filebrowser），有些是只需要密码（如 vscode），还有些是通过token登录（如 jupyterlab），针对不同的第三方应用，配置起来有差异，花时间；
2. 没有鉴权：如果某些第三方应用本身不自带鉴权，第一种方案就行不通了；
3. 用户体验不好：在平台上的 web 端进入第三方应用，还需要再输入一遍密码，密码太多了，容易遗忘；
4. 潜在安全问题：一旦第三方应用有漏洞，导致其鉴权被攻破，会直接影响到我们平台（参考 log4j）

鉴于第一种方案的种种不合适，所以需要采用第二种鉴权方案。那么如何实现呢？

先来看下系统架构：

可以看到，第三方应用是以 pod 形式，通过 service 做负载均衡，利用 ingress 配置文件（这里是 nginx ingress）在 ingress controller 层对外部流量做内部转发。

在 nginx ingress 的配置文件里，主要是对外部请求进行流量转发，通过配置 path 的正则表达转发到对应的 service 层。同时，利用 nginx ingress 的注解，也可以实现一些额外的功能，详见链接。

利用 nginx.ingress.kubernetes.io/auth-url 可以实现外部鉴权，将外部请求先转发到指定的鉴权接口：

鉴权通过后，再转发到对应的 service 层；

鉴权失败，则转发到 nginx.ingress.kubernetes.io/auth-signin 进行登录操作。

以上加黑部分是这个方案实现的理论基础。不过，要实现这个功能，还需要解决：

1. 开发一个鉴权接口，用于对访问第三方应用的请求进行鉴权过滤；
2. 如何传递鉴权所需要的信息给到鉴权接口

针对第一个问题，可以在 Kubernetes 集群中新开一个鉴权服务，提供鉴权接口。第二个问题，由于第三方应用的访问 URL 和平台的 URL 同源，cookie 共享，所以鉴权信息可以通过 cookie 传递到鉴权接口。

2 - 实现

下面是一个简单的 demo 实现。

首先，配置 ingress：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/auth-signin: http://open.domain.com/login
    nginx.ingress.kubernetes.io/auth-url: http://{auth_service}.{namespace}.svc.cluster.local/api/v1/auth
  namespace: openmmlab
spec:
  rules:
  - host: open.domain.com
    http:
      paths:
      - backend:
          service:
            name: {auth_serivce}
            port:
              number: {service_port}
        path: /{path}/vscode(/|$)(.*)
        pathType: Prefix

然后，编写鉴权接口 ( springboot ):

@GetMapping("/api/v1/auth")
public void auth(HttpServletRequest request, HttpServletResponse response) {
    Cookie[] cookies = request.getCookies();
    log.info("nginx called auth api!, cookies:{}", cookies);
    if (cookies == null) {
        response.setStatus(401);
        return;
    }
    for (Cookie cookie : cookies) {
        // 编写具体的鉴权逻辑，这里只是简单的判断cookie中是否携带了token字段，若有，则直接返回http response 200，反之返回 401
        if (cookie.getName().equals("token")) {
            response.setStatus(200);
            return;
        }
    }
    response.setStatus(401);
}

当 http://{auth_service}.{namespace}.svc.cluster.local/api/v1/auth 接口返回的 http 状态码是 401 时， 会自动调用 nginx.ingress.kubernetes.io/auth-signin 的地址，也就是 http://open.domain.com/login 来进行登录鉴权。

这样就实现了将第三方应用纳入到现有平台的鉴权体系里，从而无需借助于第三方应用自带的鉴权功能。

以上。