Wie stelle ich eine Autorisierungsanfrage von Cronjobs an einen sicheren API-Endpunkt?

php-Editor Strawberry zeigt Ihnen, wie Sie Autorisierungsanfragen stellen, um API-Endpunkte vor Cronjobs zu schützen. Bei der Entwicklung von Webanwendungen müssen wir häufig Cronjobs verwenden, um einige geplante Aufgaben auszuführen. Das direkte Senden von Anfragen über Cronjobs kann jedoch ein Sicherheitsrisiko darstellen. Daher müssen wir einige Maßnahmen ergreifen, um die Sicherheit der Anfragen zu gewährleisten. In diesem Artikel wird diese Frage ausführlich beantwortet und praktische Methoden und Vorschläge bereitgestellt, um Entwicklern bei der Lösung dieses Problems zu helfen.

Frageninhalt

Ich habe eine Golang-Anwendung, die die API-Schlüsselautorisierung über JWT 令牌

durchführt

Ich verwende Kubernetes. Diese Golang-Anwendung befindet sich also in einem Pod.

Jetzt möchte ich eine weitere Anwendung für Cronjobs erstellen, um einmal pro Woche auf den Golang-Endpunkt zuzugreifen.

Was brauche ich:

Wie kann ich eine Autorisierung durchführen/überspringen?

SKIP

: Ingress ist hier nicht erforderlich, da ich es einfach intern aufrufen kann. Wird das dem Fall helfen?

Was ich versucht habe:

Ich habe versucht, die Cronjobs und die API in derselben Anwendung zu belassen, damit ich einfach den

Dienst statt des Endpunkts

aufrufen kann, aber das hat auch eine Kehrseite. Ich kann keine Kopie erstellen, da sie auch Cronjobs kopieren und derselbe Endpunkt Mal getroffen wird 1*no ofreplicasIch möchte den Endpunkt „abc.com“ einmal pro Woche anrufen. Es erfordert einen Token, und ich kann einen Token nicht einfach weitergeben. Ich hoffe, dass es eine Möglichkeit gibt, dieses Problem zu lösen.

Workaround

Es würde auf jeden Fall helfen, wenn Sie sie einfach intern anrufen, ohne sie preiszugeben. Wenn zwei Pods (und damit Bereitstellungen) unter demselben Cluster ausgeführt werden, können Sie das interne DNS von Kubernetes verwenden.

K8s erstellt automatisch DNS-Einträge für die von Ihnen erstellten Dienste, die für die interne Kommunikation im folgenden Format verwendet werden können:

<service-name>.<service-namespace>.svc.cluster.localWeitere Informationen aus der offiziellen Dokumentation:

Dienste und DNS-Pods

Wenn das seltsam klingt oder Ihnen hilft, den Kern der Sache zu verstehen, stellen Sie sich einen „Endpunkt“ als eine Regel vor, die der Hosts-Datei Ihres Systems hinzugefügt wird: Im Grunde läuft es darauf hinaus, eine Regel hinzuzufügen, bei der

auf die IP-Adresse Ihres Pods verweist. es sei denn, es handelt sich um eine automatische Vervollständigung

<service-name>. <service-namespace>.svc.cluster.localZum Beispiel

Ihre Golang-Anwendung wird in einem Pod ausgeführt.

• Sie befinden sich im Namensraum
.
• go-apps 下创建了一个指向它的服务，名为 go-apiWenn Ihre Cron-Job-Worker in Pods innerhalb desselben Clusters ausgeführt werden, können Sie
verwenden, um auf Ihre Anwendung zuzugreifen, ohne Ingress zu verwenden
• go-api.go-apps.svc.cluster.local[:<port>] 李>Die Autorisierung liegt bei Ihnen, da Sie sie normalerweise direkt bearbeiten oder ein bestimmtes Framework verwenden. Sie können beispielsweise einen benutzerdefinierten Endpunktpfad innerhalb Ihrer Anwendung hinzufügen, um sicherzustellen, dass die einzigen akzeptierten Clients aus demselben privaten IP-Subnetz des Clusters stammen, entweder ohne Verwendung eines Tokens (nicht empfohlen) oder mithilfe eines bestimmten halbfesten Tokens, das Sie verwenden Generieren und Eins zum Steuern, damit Sie von Ihren Crons Anfragen an so etwas senden können:

Das obige ist der detaillierte Inhalt vonWie stelle ich eine Autorisierungsanfrage von Cronjobs an einen sicheren API-Endpunkt?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!