概述

請求身份認證（RequestAuthentication）定義了終端用戶請求網格服務時候的身份認證策略；如果認證信息非法，請求將被攔截；默認情況下，如果不帶身份認證信息，請求將被放過，可以配置特定授權策略要求請求的身份信息不能為空來攔截身份認證信息為空的請求。

請求身份認證配置粒度

請求身份認證策略支持三種，全局、命名空間和工作負載級；當策略的命名空間為系統命名空間時（默認為istio-system），策略為全局生效；當策略命名空間不是系統命名空間，且沒有選擇工作負載，策略將只在當前命名空間生效并覆蓋全局策略；當策略在非系統命名空間，且選擇了工作負載，則只對指定工作負載生效。

下面的配置中RequestAuthentication定義了foo命名空間下匹配app： httpbin標簽的工作負載使用的jwt認證策略，同時AuthorizationPolicy定義了對請求來源的匹配，要求認證信息不能為空。

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: httpbin
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  jwtRules:
  - issuer: "issuer-foo"
    jwksUri: //ctyun.com/.well-known/jwks.json
---
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: httpbin
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  rules:
  - from:
    - source:
        requestPrincipals: ["*"]

創建請求身份認證

1. 進入網格控制臺，選擇 網格安全中心 –> 請求身份認證菜單。
2. 選擇命名空間，列表頁會展示當前命名空間下的請求身份認證策略。
3. 點擊創建按鈕，進行請求身份認證的創建。

修改請求身份認證

1. 進入網格控制臺，選擇 網格安全中心 –> 請求身份認證菜單。
2. 選擇命名空間，列表頁會展示當前命名空間下的請求身份認證策略，選擇操作欄的編輯選項，修改策略，保存即可。

刪除請求身份認證

1. 進入網格控制臺，選擇 網格安全中心 –> 請求身份認證菜單。
2. 選擇命名空間，列表頁會展示當前命名空間下的請求身份認證策略，選擇操作欄的刪除選項，刪除選定的策略即可。

RequestAuthentication配置說明：

JWTRule