Skip to main content
版本:Next(1.7.0)

Token

通常第三方系统调用linkis服务时,一般是通过token的方式进行认证

1. 实现逻辑介绍

通过统一的认证处理filter:org.apache.linkis.server.security.SecurityFilter 来控制

实现的伪代码


val TOKEN_KEY = "Token-Code"
val TOKEN_USER_KEY = "Token-User"

/* TokenAuthentication.isTokenRequest 通过判断请求request中:
1.请求头是否包含TOKEN_KEY和TOKEN_USER_KEY :getHeaders.containsKey(TOKEN_KEY) && getHeaders.containsKey(TOKEN_USER_KEY)
2.或则请求cookies中是否包含TOKEN_KEY和TOKEN_USER_KEY:getCookies.containsKey(TOKEN_KEY) &&getCookies.containsKey(TOKEN_USER_KEY)
*/

if (TokenAuthentication.isTokenRequest(gatewayContext)) {
/* 进行token认证
1. 确认是否开启token认证 配置项 `wds.linkis.gateway.conf.enable.token.auth`
2. 提取token tokenUser host信息进行认证,校验合法性
*/
TokenAuthentication.tokenAuth(gatewayContext)
} else {
//普通的用户名密码认证
}

可用的token以及对应可使用的ip相关信息数据存储在表linkis_mg_gateway_auth_token中, 详细见表解析说明,非实时更新, 会定期wds.linkis.token.cache.expire.hour(默认间隔12小时)刷新到服务内存中

2. 使用方式

2.1 新增 Token

管理台 基础数据管理> 令牌管理进行新增

名称:token名称 对应 Token-Code,如:TEST-AUTH 
用户:该token对应的用户名,即感知到的请求用户,日志审计会使用到。如果不做限制可以配置为 *
主机:可访问的主机,会进行请求方的ip校验过滤。如果不做限制可以配置为 *
有效天数:如果永久有效,配置为-1

2.2 原生的方式

构建的http请求方式,需要在请求头中添加Token-Code,Token-User参数,

示例

请求地址: http://127.0.0.1:9001/api/rest_j/v1/entrance/submit

body参数:

{
"executionContent": {"code": "sleep 5s;echo pwd", "runType": "shell"},
"params": {"variable": {}, "configuration": {}},
"source": {"scriptPath": "file:///mnt/bdp/hadoop/1.hql"},
"labels": {
"engineType": "shell-1",
"userCreator": "hadoop-IDE",
"executeOnce":"false "
}
}

请求头header:

Content-Type:application/json
Token-Code:BML-AUTH
Token-User:hadoop

2.3 客户端使用token认证

linkis 提供的客户端认证方式都支持Token策略模式new TokenAuthenticationStrategy()

详细可以参考SDK 方式

示例

// 1. build config: linkis gateway url
DWSClientConfig clientConfig = ((DWSClientConfigBuilder) (DWSClientConfigBuilder.newBuilder()
.addServerUrl("http://127.0.0.1:9001/") //set linkis-mg-gateway url: http://{ip}:{port}
.connectionTimeout(30000) //connectionTimeOut
.discoveryEnabled(false) //disable discovery
.discoveryFrequency(1, TimeUnit.MINUTES) // discovery frequency
.loadbalancerEnabled(true) // enable loadbalance
.maxConnectionSize(5) // set max Connection
.retryEnabled(false) // set retry
.readTimeout(30000) //set read timeout
.setAuthenticationStrategy(new TokenAuthenticationStrategy()) // AuthenticationStrategy Linkis auth Token
.setAuthTokenKey("Token-Code") // set token key
.setAuthTokenValue("DSM-AUTH") // set token value
.setDWSVersion("v1") //linkis rest version v1
.build();

3 注意事项

3.1 token的配置

支持的token,对应的可用的用户/可使用请求方ip 是通过表linkis_mg_gateway_auth_token来控制,加载是非实时更新,使用了缓存机制

3.2 管理员权限token

对于高危操作的限制,需要管理员角色的token才能操作,管理员token,格式为 admin-xxx