iframe 内嵌的页面如何进行鉴权? iframe嵌入第三方网站
yuyutoo 2024-12-23 14:28 1 浏览 0 评论
0 - 前言
最近在开发过程中,有个业务需求是:在我们的平台 web 页面里嵌入一个在线编辑器(比如 vscode,jupyterlab 等)。
在线编辑器,比较好搞定,网上有现成的开源组件可以实现。
在 web 页面里嵌入在线编辑器,通过 iframe 载入在线编辑器的链接也可以实现,问题不大。
但是,进一步的需求是:在线编辑器只允许通过我们平台的 web 页面进入,当在别的浏览器或者别的电脑上通过在线编辑器链接访问时,无法进入在线编辑器。
这个需求是合理且必要的。从安全的角度看,如果在线编辑器的链接在任何地方都可以访问进入,一旦该链接被泄露,那么所有获得该链接的人,都能直接访问其在线编辑器,对里面的内容进行操作,会存在严重的数据泄露、文件被恶意篡改等问题。
1 - 方案
对通过iframe嵌入的第三方应用的鉴权,大抵可以分为两个方向:
- 借助于第三方应用自带的鉴权系统,如通过账号密码或者token登录;
- 将第三方应用纳入到现有平台的鉴权体系里。
第一种方案,是最容易想到且比较容易实现的。只需要借助第三方应用的自定义配置文件,即可完成鉴权功能。但是该方案有一定的缺点:
- 兼容性不好:不同的第三方应用,鉴权方式不一样,有些是通过用户名密码登录(如 filebrowser),有些是只需要密码(如 vscode),还有些是通过token登录(如 jupyterlab),针对不同的第三方应用,配置起来有差异,花时间;
- 没有鉴权:如果某些第三方应用本身不自带鉴权,第一种方案就行不通了;
- 用户体验不好:在平台上的 web 端进入第三方应用,还需要再输入一遍密码,密码太多了,容易遗忘;
- 潜在安全问题:一旦第三方应用有漏洞,导致其鉴权被攻破,会直接影响到我们平台(参考 log4j)
鉴于第一种方案的种种不合适,所以需要采用第二种鉴权方案。那么如何实现呢?
先来看下系统架构:
可以看到,第三方应用是以 pod 形式,通过 service 做负载均衡,利用 ingress 配置文件(这里是 nginx ingress)在 ingress controller 层对外部流量做内部转发。
在 nginx ingress 的配置文件里,主要是对外部请求进行流量转发,通过配置 path 的正则表达转发到对应的 service 层。同时,利用 nginx ingress 的注解,也可以实现一些额外的功能,详见链接。
利用 nginx.ingress.kubernetes.io/auth-url 可以实现外部鉴权,将外部请求先转发到指定的鉴权接口:
鉴权通过后,再转发到对应的 service 层;
鉴权失败,则转发到 nginx.ingress.kubernetes.io/auth-signin 进行登录操作。
以上加黑部分是这个方案实现的理论基础。不过,要实现这个功能,还需要解决:
- 开发一个鉴权接口,用于对访问第三方应用的请求进行鉴权过滤;
- 如何传递鉴权所需要的信息给到鉴权接口
针对第一个问题,可以在 Kubernetes 集群中新开一个鉴权服务,提供鉴权接口。第二个问题,由于第三方应用的访问 URL 和平台的 URL 同源,cookie 共享,所以鉴权信息可以通过 cookie 传递到鉴权接口。
2 - 实现
下面是一个简单的 demo 实现。
首先,配置 ingress:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/auth-signin: http://open.domain.com/login
nginx.ingress.kubernetes.io/auth-url: http://{auth_service}.{namespace}.svc.cluster.local/api/v1/auth
namespace: openmmlab
spec:
rules:
- host: open.domain.com
http:
paths:
- backend:
service:
name: {auth_serivce}
port:
number: {service_port}
path: /{path}/vscode(/|$)(.*)
pathType: Prefix
然后,编写鉴权接口 ( springboot ):
@GetMapping("/api/v1/auth")
public void auth(HttpServletRequest request, HttpServletResponse response) {
Cookie[] cookies = request.getCookies();
log.info("nginx called auth api!, cookies:{}", cookies);
if (cookies == null) {
response.setStatus(401);
return;
}
for (Cookie cookie : cookies) {
// 编写具体的鉴权逻辑,这里只是简单的判断cookie中是否携带了token字段,若有,则直接返回http response 200,反之返回 401
if (cookie.getName().equals("token")) {
response.setStatus(200);
return;
}
}
response.setStatus(401);
}
当 http://{auth_service}.{namespace}.svc.cluster.local/api/v1/auth 接口返回的 http 状态码是 401 时, 会自动调用 nginx.ingress.kubernetes.io/auth-signin 的地址,也就是 http://open.domain.com/login 来进行登录鉴权。
这样就实现了将第三方应用纳入到现有平台的鉴权体系里,从而无需借助于第三方应用自带的鉴权功能。
以上。
相关推荐
- 一篇文章认识JavaScript中的Web API
-
在了解webapi之前先要明白在我们声明变量三个关键字(var、let、const),我们到底该用哪一个?首先排除var,它是老牌的写法,会有很多问题,可以淘汰掉...我们在开发中建议const...
- html5大神结合js带你研究古老读心术,你的心思早被猜透
-
javascript/HTML5课题:javascript开发读心术游戏PS:大爆料!javascript解密读心术游戏背后故事知识点:读心术原理算法独家揭秘,HTML5最新选择器,...
- 纯CSS实现3个圆圈横向排列不断闪烁的Loading特效
-
这个纯CSS实现的Loading特效是一个非常简单而实用的选择,它由三个圆圈横向排列,并不断闪烁。这种动画效果很适合用于页面加载过程中,为用户提供一个愉悦的等待体验。在这个特效的设计中,使用了CSS的...
- 网站建设知识分享系列文章三:符合用户体验的网页设计应如何做?
-
上篇文章向各位讲述了网站建设知识分享系列文章二:如何选择建站公司,今天我们来讲述下建站公司选定后,网站制作流程是怎样的,有哪些需要注意的细节性问题。选定建站公司,签订正规劳务合同后,最先开始的是设计环...
- 「更新」微信小程序 Lottie 动画组件 lottiejs-miniapp V1.1.0 发布
-
lottiejs-miniapp当前版本号:1.1.0npm地址:...
- Web开发基础之jQuery javascript web开发
-
jQuery是一个JavaScript库。jQuery极大地简化了JavaScript编程。jQuery的语法设计可以使开发更加便捷,例如操作文档对象、选择DOM元素、制作动画效果、事件处理、使用Aj...
- Web前端:JavaScript最强总结,最全面的零基础入门教程
-
JavaScript是网景(Netscape)公司开发的一种基于客户端浏览器、面向(基于)对象、事件驱动式的网页脚本语言。JavaScript语言的前身叫作Livescript。JavaScript...
- jQuery 动画制作与特效 jquery的动画函数
-
使用show()和hide()方法在普通的javascript编程中,要实现元素的显示、隐藏通常是利用其CSS的display属性或者visibility属性。在jQuery中提供了show()和hi...
- JavaScript+css实现的登录注册页面web前端html源码
-
大家好,今天给大家介绍一款,JavaScript+css实现的登录注册页面web前端html源码(图1),布局合理。送给大家哦,获取方式在本文末尾。文本框获取焦点动画特效(图2)源码完整,需要的朋友可...
- CSS 3.0+HTML5.0制作各种网页特效
-
?1、C33实现点击图片渐渐放大特效??2、CSS3实现图片全屏背景特效?3、CSS3实现的鼠标移动到图片上不规则放大??3、jQuery+CSS3模拟苹果桌面系统??4、CSS3+jQuery照片...
- js+css实现的按钮悬停动画特效html前端源码,随机元素弹出效果
-
大家好,今天给大家介绍一款,js+css实现的按钮悬停动画特效html页面前端源码,随机元素弹出(图1)。送给大家哦,获取方式在本文末尾。鼠标经过按钮区域的时候,会随机从不同位置上弹出很多小元素,效果...
- Swiper - 免费开源、功能强大的触摸滑动js特效插件
-
简单配置就能实现手机、PC网页中滑动、焦点轮播图、tab切换和触摸导航等大部分功能。js滑动特效插件Swiper是一款纯javascript打造的滑动特效插件,主要用对移动端web开发...
- html5精选特效代码分享(收藏) html酷炫特效
-
在网页设计过程中,我们会经常用到一些HTML5特效代码,下面就是为大家整理分享的一些好看炫酷且实用的HTML5特效代码,可以放心在您的应用程序中使用。一、Canvas跟随鼠标光标动画特效演示、下载地址...
- 玩转Markdown(2)——抽象语法树的提取与操纵
-
上一篇玩转Markdown——数据的分离存储与组件的原生渲染发布,转眼已经鸽了大半年了。最近在操纵mdast生成md文件的时候,心血来潮,把玩转Markdown(2)给补上了。...
- 任由文字肆意流淌,更自由的开源 Markdown 编辑器
-
对于创作平台来说内容编辑器是十分重要的功能,强大的编辑器可以让创作者专注于创作“笔”下生花。而最好取悦程序员创作者的方法之一就是支持Markdown写作,因为大多数程序员都是用Markdown...
你 发表评论:
欢迎- 一周热门
- 最近发表
-
- 一篇文章认识JavaScript中的Web API
- html5大神结合js带你研究古老读心术,你的心思早被猜透
- 纯CSS实现3个圆圈横向排列不断闪烁的Loading特效
- 网站建设知识分享系列文章三:符合用户体验的网页设计应如何做?
- 「更新」微信小程序 Lottie 动画组件 lottiejs-miniapp V1.1.0 发布
- Web开发基础之jQuery javascript web开发
- Web前端:JavaScript最强总结,最全面的零基础入门教程
- jQuery 动画制作与特效 jquery的动画函数
- JavaScript+css实现的登录注册页面web前端html源码
- CSS 3.0+HTML5.0制作各种网页特效
- 标签列表
-
- mybatis plus (70)
- scheduledtask (71)
- css滚动条 (60)
- java学生成绩管理系统 (59)
- 结构体数组 (69)
- databasemetadata (64)
- javastatic (68)
- jsp实用教程 (53)
- fontawesome (57)
- widget开发 (57)
- vb net教程 (62)
- hibernate 教程 (63)
- case语句 (57)
- svn连接 (74)
- directoryindex (69)
- session timeout (58)
- textbox换行 (67)
- extension_dir (64)
- linearlayout (58)
- vba高级教程 (75)
- iframe用法 (58)
- sqlparameter (59)
- trim函数 (59)
- flex布局 (63)
- contextloaderlistener (56)