背景

期望自定义 token service，因此探索下 harbor 的基本架构，得到自定义 token service 实现的具体可操作步骤。

Harbor 架构

image

上图看不懂？没关系，看下图

image

核心组件

Chartmuseum：chartmuseum 是 helm chart 的仓库，它的存储层支持 FileSystem 以及各大云厂商的对象存储中间件

Database：数据库组件

Redis：缓存组件

Nginx：对外访问代理

Core：核心组件，包括：token，webhook，

Clair： coreos 开源的容器漏洞扫描工具

Notary：一套 docker 镜像的签名工具，用来保证镜像在 pull，push 和传输工程中的一致性和完整性

Portal：portal 是用 AngularJS 写的前端界面

Registry： docker registry 镜像存储组件

流程

Docker login

image

Token 鉴权为什么需要 LB 外部地址

参考 https://github.com/goharbor/harbor/blob/master/src/server/middleware/v2auth/auth.go#L112-L118

可以看到，此处在申请 service token 的时候，又一次 redirect 重定向操作。

func tokenSvcEndpoint(req *http.Request) (string, error) {
        rawCoreURL := config.InternalCoreURL()
        if match(req.Context(), req.Host, rawCoreURL) {
                return rawCoreURL, nil
        }
        return config.ExtEndpoint()
}

Harbor 官方 token 实现

请求 registry 时返回 401， redirect to token service, 注意下面的 detail 字段会在 query scope 中传递。

HTTP/1.1 401 Unauthorized
Content-Type: application/json; charset=utf-8
Docker-Distribution-Api-Version: registry/2.0
Www-Authenticate: Bearer realm="https://auth.docker.io/token",service="registry.docker.io",scope="repository:samalba/my-app:pull,push"
Date: Thu, 10 Sep 2015 19:32:31 GMT
Content-Length: 235
Strict-Transport-Security: max-age=31536000

{"errors":[{"code":"UNAUTHORIZED","message":"access to the requested resource is not authorized","detail":[{"Type":"repository","Name":"samalba/my-app","Action":"pull"},{"Type":"repository","Name":"samalba/my-app","Action":"push"}]}]}

Token service 请求例子：/service/token?account=admin&client_id=docker&offline_token=true&service=harbor-registry

参考 https://github.com/goharbor/harbor/blob/master/src/core/service/token/token.go

func (h *Handler) Get() {
        request := h.Ctx.Request
        log.Debugf("URL for token request: %s", request.URL.String())
        service := h.GetString("service")
        tokenCreator, ok := creatorMap[service]
        if !ok {
                errMsg := fmt.Sprintf("Unable to handle service: %s", service)
                log.Errorf(errMsg)
                h.CustomAbort(http.StatusBadRequest, errMsg)
        }
        token, err := tokenCreator.Create(request)
        if err != nil {
                if _, ok := err.(*unauthorizedError); ok {
                        h.CustomAbort(http.StatusUnauthorized, "")
                }
                log.Errorf("Unexpected error when creating the token, error: %v", err)
                h.CustomAbort(http.StatusInternalServerError, "")
        }
        h.Data["json"] = token
        h.ServeJSON()

}

流程：

获取 Query 的 service params，并得到 tokenCreateor，不通的服务有不同的 token service
创建 token，创建核心是 JWT token，参考 https://github.com/goharbor/harbor/blob/master/src/core/service/token/authutils.go#L112-L156
返回 token