From. https://coffeewhale.com/kubernetes/authentication/http-auth/2020/05/03/auth02/

HTTP 프로토콜에서 제공하는 인증 방법 중 하나

HTTP Header에 인증정보를 포함

인증 header

• Http 인증이 적용된 서버에 인증없이 접근하면 401 에러코드

• HTTP header에 인증 필드를 기입

  Authorization: <type> <credentials>
  

  • type: 인증방식, k8s의 경우 Basic 또는 Bearer

  • credentials: 사용자 인증정보, id/passwor 또는 token

  • Basic type: id와 비밀번호를 base64 인코딩후 전송

    Authorization: Basic BASE64($USER:$PASSWORD)
    

  • Bearer type: token

    Authorization: Bearer hello-world-token
    

JSON Web Token (jwt)

• bearer type에서 사용하는 token은 문자열을 알면 바로 진입가능한 매우 허술한 방식
• 이를 보완하기 위한 token의 종류
• 개인키를 사용하여 토큰을 서명하고 공용키로 서명된 메시지를 검증하는 방식 (발급과 검증이 모두 서버에서 수행)
  • X.509인증의 간략버전이라고 생각하면 편리
• 인증/권한허가/세션관리의 목적으로 다양하게 사용됨
• 아래형식의 데이터가 한번에 base64 URL 인코딩되어 적제됨
  • Header: 토큰 형식과 암호화 알고리즘 전언
  • Payload: 전송하려는 데이터를 JSON 형식으로 기입
  • Signature: 검증용 데이터
• jwt는 보안이 없다 → 토큰을 탈취한다면 이를 사용하여 원 주인으로 위장하여 정상적인 접근이 가능하다.

k8s Service Account Token

• k8s는 Bearer 토큰 방식을 통한 통신시 위조방지용으로 jwt를 사용
• ServiceAccount 자원에 jwt를 사용하여 토큰 생성