「技术干货」基于token认证的registry配置

作者/王一钧

前言

registry默认配置下是没有认证授权的,在没有认证的情况下用户可以在registry中为所欲为，需要认证授权则需要额外配置。基于token认证的方式可以很好地将registry和认证中心解耦，并能具有很高的安全性。harbor也是基于token的认证方式。

Docker login

Docker login的流程具体流程如下：

假设registry部署在192.168.1.10上。用户使用docker login命令请求registry：

 $ docker login 192.168.1.10

在用户输入用户名密码后，docker client将会发送一个Get请求到192.168.1.10/v2/。将会按照以下步骤进行：

1.首先请求被proxy容器监听的80端口接收，nginx在这个容器中将请求转发到Registry容器中。

2.Registry容器配置了基于token的权限认证，因此会返回一个401的状态码，提示docker client去指定的url获取一个有效的token。在harbor中这个url指向了Core Services提供的token service。

3.当docker client接收到错误码，重新发送一个根据Http规范的基本认证并在header中嵌入了用户名密码的请求。

4.此请求通过转发80端口后，nginx根据预先配置的规则再次将该请求转发到UI容器，token service在UI容器中接收请求，并获取用户名密码。

5.获取用户名密码后，token service进行权限认证（内部数据库/LDAP），若认证通过 则会在HttpResponse的body中返回一个由私钥生成的token。

至此docker login流程结束docker会将用户名密码编码后存储到隐藏文件中。

配置

启动基于token认证的registry创建配置文件config.yml挂载到/etc/registry/config.yml。

HTTP/1.1 401 Unauthorized
Content-Type: application/json
Docker-Distribution-Api-Version: registry/2.0
Www-Authenticate: Bearer realm="http://192.168.79.1/archer/auth",service="harbor-registry",scope="repository:hello-world:pull,push"
Date: Thu, 10 Sep 2019 19:32:31 GMT
Content-Length: 235
Strict-Transport-Security: max-age=31536000


{"errors":[{"code":"UNAUTHORIZED","message":"access to the requested resource is not authorized","detail":[{"Type":"repository","Name":"hello-world","Action":"pull"},{"Type":"repository","Name":"hello-world","Action":"push"}]}]}

如何去认证

客户端首先去访问registry，若registry需要认证则会返回401 Unauthorized并且在header中的WWW-Authenticate会返回认证地址，告诉客户端去哪儿认证。

例如一个用户想去push一个名为hello-world：1.0的镜像到registry。用户就需要有一个hello-world仓库push的权限。由于没有认证registry会返回以下内容：

HTTP/1.1 401 Unauthorized
Content-Type: application/json
Docker-Distribution-Api-Version: registry/2.0
Www-Authenticate: Bearer realm="http://192.168.79.1/archer/auth",service="harbor-registry",scope="repository:hello-world:pull,push"
Date: Thu, 10 Sep 2019 19:32:31 GMT
Content-Length: 235
Strict-Transport-Security: max-age=31536000


{"errors":[{"code":"UNAUTHORIZED","message":"access to the requested resource is not authorized","detail":[{"Type":"repository","Name":"hello-world","Action":"pull"},{"Type":"repository","Name":"hello-world","Action":"push"}]}]}

基于registry的要求client就需要去http://192.168.79.1/archer/auth（上面配置的地址）获取token。

服务端如何生成一个registry需要的客户端

认证服务端需要返回一个基于jwt范式的token，json web token包含以下3个部分：

1.Header

JWT的header是一个标准的JOSE header。typ字段是JWT，alg字段为识别签名所要使用的算法，kid表示用于对token进行签名的密钥的ID。

{
     "typ": "JWT",
     "alg": "RS256",
     "kid": "PYYO:TEWU:V7JH:26JV:AQTZ:LJC3:SXVJ:XGHA:34F2:2LAQ:ZRMK:Z7Q6"
 }

2.Claim Set

iss（Issuer）：token的发布者,该项必须与配置时的issuer相同。

sub（Subject）：标记token给那个用户,通常是用户名或id,若请求未携带用户信息时该字段应为空字符串。

aud（Audience）：标记token给哪个服务,该项与上面配置文件中的service的值对应。

exp（Expiration）：token应该只在指定的日期和时间内有效。

nbf（Not Before）：在指定日期之前使用,则该token无效。

iat（Issued At）：该token的发布时间。

jti（JWT ID）：唯一的JWT ID。

Example:

{
        "iss":"harbor-token-issuer",  
        "sub":"user",
        "aud":"harbor-registry",
        "exp":1576148010,
        "nbf":1576040010,
        "iat":1576040010,
        "jti":"wodUfng6C9aEriQ2",
        "access":null
    }

3.签名（Signature）

该字段需要使用到前两个header和claim set 的json字符串base64编码：

header:eyJ0eXAiOiJKV1QiLCJraWQiOiJCS0VEOlpNS1A6TTZOTTpDTEEzOk5NNUQ6SUJNUjpLSlZROlpWNE86RU0zQzpIQk02OkhWNlM6QU8zUiIsImFsZyI6IlJTMjU2In0

Claim Set：

eyJpc3MiOiJoYXJib3ItdG9rZW4taXNzdWVyIiwic3ViIjoidXNlciIsImF1ZCI6ImhhcmJvci1yZWdpc3RyeSIsImV4cCI6MTU3NjE1OTM2MiwibmJmIjoxNTc2MDUxMzYyLCJpYXQiOjE1NzYwNTEzNjIsImp0aSI6IjQwTEY2eHZVaDBsNUxjV3QiLCJhY2Nlc3MiOm51bGx9

将以上字符串通过，拼接组成payload，加入私钥进行签名得到后再base64编码：

uPR3KCFi09BLd2DBn3i36jlx6QxNSTXyl4PKDfbyDa1Wzx310kA62Mo7O-8-S9eZ36icLhJofJaqg5r8wgFVdD56utSPmOr2rLNTHyuxxyjodqm-Kdp9GS4Gkj9Cp1wx0vH-z95CeQUrPYggGnJx_arUfN94UP7hf2Y5VCokoWhjpXm639XBPjcZCu5EcA17qHVHGwoeyhoEnQaUNgbb_PxdgK1ILPkKwjdjUXmtu-WceY4fttgjvJ6aU7Ll75_VfsxGQUpJqXbOGk_fLK513WTBx5IiKlnbNZpyR0BHxAYQUJOyquw9yzmiZy883uVLy26CCgyLDdLm4FqwByLJyQVv3-O2Tp_3hgBWfF7ivVH0fva_ss7NEzjAktKrj_hUUE2d_5FbD7r7kWuECYXOQaN2jUtDBFeFM3g9PPr0chBiR0Q2WISg8dsOduQ4RUKdC2iFdyZsWTPHZs_6I_6EAlzodZqF9YiyYfNekxxCS82JGoylkXCY54dNX9eJDEeX4nREIkrJpSuslLT7Ncsa_7qA30LoDW0EpozJK4fR_c4ZRvDk4hUwWehcNuoBjXWXvhou7eb9fI2xMHpZIH1wKSvq_XaQq8jTv3SJ3kCwcb7q9aW0QY8EOkrBMG8hfeH-Z7HUownpzjErCMiCNWibJ8DNsVV11vOR6eGM1oA6YYA

将以上三个字符串通过，拼接就得到了token。

{
   "token":"eyJ0eXAiOiJKV1QiLCJraWQiOiJCS0VEOlpNS1A6TTZOTTpDTEEzOk5NNUQ6SUJNUjpLSlZROlpWNE86RU0zQzpIQk02OkhWNlM6QU8zUiIsImFsZyI6IlJTMjU2In0.eyJpc3MiOiJoYXJib3ItdG9rZW4taXNzdWVyIiwic3ViIjoidXNlciIsImF1ZCI6ImhhcmJvci1yZWdpc3RyeSIsImV4cCI6MTU3NjE1OTM2MiwibmJmIjoxNTc2MDUxMzYyLCJpYXQiOjE1NzYwNTEzNjIsImp0aSI6IjQwTEY2eHZVaDBsNUxjV3QiLCJhY2Nlc3MiOm51bGx9.uPR3KCFi09BLd2DBn3i36jlx6QxNSTXyl4PKDfbyDa1Wzx310kA62Mo7O-8-S9eZ36icLhJofJaqg5r8wgFVdD56utSPmOr2rLNTHyuxxyjodqm-Kdp9GS4Gkj9Cp1wx0vH-z95CeQUrPYggGnJx_arUfN94UP7hf2Y5VCokoWhjpXm639XBPjcZCu5EcA17qHVHGwoeyhoEnQaUNgbb_PxdgK1ILPkKwjdjUXmtu-WceY4fttgjvJ6aU7Ll75_VfsxGQUpJqXbOGk_fLK513WTBx5IiKlnbNZpyR0BHxAYQUJOyquw9yzmiZy883uVLy26CCgyLDdLm4FqwByLJyQVv3-O2Tp_3hgBWfF7ivVH0fva_ss7NEzjAktKrj_hUUE2d_5FbD7r7kWuECYXOQaN2jUtDBFeFM3g9PPr0chBiR0Q2WISg8dsOduQ4RUKdC2iFdyZsWTPHZs_6I_6EAlzodZqF9YiyYfNekxxCS82JGoylkXCY54dNX9eJDEeX4nREIkrJpSuslLT7Ncsa_7qA30LoDW0EpozJK4fR_c4ZRvDk4hUwWehcNuoBjXWXvhou7eb9fI2xMHpZIH1wKSvq_XaQq8jTv3SJ3kCwcb7q9aW0QY8EOkrBMG8hfeH-Z7HUownpzjErCMiCNWibJ8DNsVV11vOR6eGM1oA6YYA",
   "expires_in":1800,
   "issued_at":"2019-12-11T08:02:42Z"
}

简单的认证服务器demo

基于Go语言写的一个demo,使用的是beego框架github地址：

https://github.com/Archer1A/docker-registry-auth

-End-