企业级服务网格架构-安全篇：Istio可插拔安全与AC详解.pptx

Istio安全机制（二）讲师：胤禛-YinZhen企业级服务网格架构

01.Istio可插拔的安全目录

01.Istio可插拔的安全-授权认证与授权是计算机安全方面的两个基础概念。认证解决你是谁的问题(who)，授权解决你能干什么的问题(what)。计算机系统解决你是谁的问题，是依靠识别与人绑定的某种凭证来做判断的，比如通过判定预设的用户名和密码是否匹配，或者读取人持有的IC卡、RFID、NFC等信息来识别人的身份，当然随着科技的发展计算机的外设已经可以识别生物特征比如指纹识别、虹膜、人脸等特征。当然，计算机系统的用户不仅仅是人，也可能是其他的机器或系统，所以有必要对各种认证的手段做一个抽象，基于声明(claims-based)的认证就是这样一种抽象。基于认证进行授权使得人、其他实体有操作某种对象的权力。

01.RBAC基于角色的访问控制（RBAC）是基于角色和特权定义的访问控制机制。如下图所示，把权限分配给角色，相应角色的用户就具备了对应功能的权限。其实我们用到的很多管理系统，包括最典型的操作系统都是按照这个思想来设计的，例如创建若干个Guest、Admin之类的角色，再将角色分配给用户。这就是一个用户→角色→权限的模型，一个用户可以有多个角色，每个角色又可以有多个权限，都是多对多的关系。用户拥有的权限等于其所有的角色持有权限的合集。在RBAC模型中，Role