ory/oathkeeper
GitHub: ory/oathkeeper
云原生身份与访问代理,基于零信任模型为 HTTP 服务提供可配置的认证、授权和请求改写能力。
Stars: 3552 | Forks: 405
聊天 · 讨论 · 新闻简报 · 文档 · 试用 Ory Network · 招聘
Ory Oathkeeper 是一个身份与访问代理 (IAP) 和访问控制决策 API,它根据一组访问规则对 HTTP 请求进行授权。它遵循由 Google 设计的 BeyondCorp 模型,并在零信任网络中保护应用程序的安全。 - [什么是 Ory Oathkeeper?](#what-is-ory-oathkeeper) - [为什么选择 Ory Oathkeeper](#why-ory-oathkeeper) - [部署选项](#deployment-options) - [安装](#installation) - [快速入门](#quickstart) - [谁在使用 Ory Oathkeeper](#who-is-using-ory-oathkeeper) - [生态系统](#ecosystem) - [Ory Kratos:身份和用户基础设施及管理](#ory-kratos-identity-and-user-infrastructure-and-management) - [Ory Hydra:OAuth2 和 OpenID Connect 服务器](#ory-hydra-oauth2--openid-connect-server) - [Ory Oathkeeper:身份和访问代理](#ory-oathkeeper-identity--access-proxy) - [Ory Keto:作为服务器的访问控制策略](#ory-keto-access-control-policies-as-a-server) - [文档](#documentation) - [开发 Ory Oathkeeper](#developing-ory-oathkeeper) - [安全性](#security) - [披露漏洞](#disclosing-vulnerabilities) - [遥测数据](#telemetry) ## 什么是 Ory Oathkeeper? Ory Oathkeeper 是一个身份与访问代理 (IAP) 和访问控制决策 API。它遵循[云架构最佳实践](https://www.ory.com/docs/ecosystem/software-architecture-philosophy),主要侧重于: - 对 HTTP 请求进行身份验证和授权 - 作为反向代理或决策 API - 使用身份信息修改请求 - 与现有的 API 网关和代理集成 - 支持多种身份验证和授权策略 - 在零信任网络架构中工作 我们建议从 [Ory Oathkeeper 介绍文档](https://www.ory.com/docs/oathkeeper)开始,以了解更多关于其架构、功能集以及与其他系统的比较。 ### 为什么选择 Ory Oathkeeper Ory Oathkeeper 旨在: - 将身份验证和授权与应用程序代码解耦 - 作为 API Gateway 插件或独立代理工作 - 为不同的 endpoint 支持灵活的访问规则 - 与 Ambassador、Envoy、AWS API Gateway、Nginx 等集成 - 提供代理和 sidecar 两种部署模式 - 在云原生环境中轻松扩展 Oathkeeper 可与以下系统集成: - [Ambassador](https://github.com/datawire/ambassador) 通过 [auth service](https://www.getambassador.io/reference/services/auth-service) - [Envoy](https://www.envoyproxy.io) 通过 [External Authorization HTTP Filter](https://www.envoyproxy.io/docs/envoy/latest/configuration/http/http_filters/ext_authz_filter) - [AWS API Gateway](https://aws.amazon.com/api-gateway/) 通过 [Custom Authorizers](https://aws.amazon.com/de/blogs/compute/introducing-custom-authorizers-in-amazon-api-gateway/) - [Nginx](https://www.nginx.com) 通过 [Authentication Based on Subrequest Result](https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-subrequest-authentication/) ## 部署选项 您可以通过以下两种主要方式运行 Ory Oathkeeper: - 作为 Ory Network 上的托管服务 - 作为由您自行控制的自我托管服务,可选择是否附带 Ory Enterprise License ### 安装 您可以自行运行 Ory Oathkeeper,以完全控制基础设施、部署和自定义。 [安装指南](https://www.ory.com/docs/oathkeeper/install)说明了如何: - 在 Linux、macOS、Windows 和 Docker 上安装 Oathkeeper - 配置访问规则和身份验证策略 - 部署到 Kubernetes 和其他编排系统 本指南使用开源发行版,帮助您在无许可证要求的情况下快速入门。它非常适合希望在没有 SLA 的情况下进行实验、原型设计或运行非重要工作负载的个人、研究人员、极客和公司。您将获得完整的核心引擎,并且可以自由地从源代码进行检查、扩展和构建。 如果您将 Oathkeeper 作为业务关键系统的一部分运行,您应该使用商业协议来降低运营和安全风险。**Ory Enterprise License (OEL)** 构建于自托管 Oathkeeper 之上,并提供: - 开源版本中不可用的额外企业功能 - 定期的安全发布,包括带有服务级别协议的 CVE 补丁 - 对高级扩展、多租户和复杂部署的支持 - 带有 SLA 的优质支持选项,直接接触工程师并获得入门帮助 - 访问包含经过审查且最新的企业版构建的私有 Docker Registry 要获得有保障的 CVE 修复、当前的企业版构建、高级功能以及生产环境支持,您需要有效的 [Ory Enterprise License](https://www.ory.com/ory-enterprise-license) 并访问 Ory Enterprise Docker Registry。要了解更多信息,请[联系 Ory 团队](https://www.ory.com/contact/)。 ## 快速入门 前往 [Ory 开发者文档](https://www.ory.com/docs/oathkeeper/install),了解如何在 Linux、macOS、Windows 和 Docker 上安装 Ory Oathkeeper,以及如何从源代码构建 Ory Oathkeeper。 ## 谁在使用 Ory Oathkeeper Ory 社区建立在个人、公司和维护者的基础之上。Ory 团队感谢所有参与其中的人——从提交错误报告和功能请求,到贡献补丁和文档。Ory 社区拥有超过 50,000 名成员,并且还在不断壮大。Ory 技术栈每天为数千家公司保护超过 7,000,000,000 次 API 请求。如果没有你们每一个人,这一切都是不可能的! 以下列表代表了一路上陪伴我们,并对我们的生态系统做出杰出贡献的公司。_如果您认为您的公司应该在这里占有一席之地,请立即联系 office@ory.com!_| Name | Logo | Website | Case Study |
|---|---|---|---|
| OpenAI |
|
openai.com | OpenAI Case Study |
| Fandom |
|
fandom.com | Fandom Case Study |
| Lumin |
|
luminpdf.com | Lumin Case Study |
| Sencrop |
|
sencrop.com | Sencrop Case Study |
| OSINT Industries |
|
osint.industries | OSINT Industries Case Study |
| HGV |
|
hgv.it | HGV Case Study |
| Maxroll |
|
maxroll.gg | Maxroll Case Study |
| Zezam |
|
zezam.io | Zezam Case Study |
| T.RowePrice |
|
troweprice.com | |
| Mistral |
|
mistral.ai | |
| Axel Springer |
|
axelspringer.com | |
| Hemnet |
|
hemnet.se | |
| Cisco |
|
cisco.com | |
| Presidencia de la República Dominicana |
|
presidencia.gob.do | |
| Moonpig |
|
moonpig.com | |
| Booster |
|
choosebooster.com | |
| Zaptec |
|
zaptec.com | |
| Klarna |
|
klarna.com | |
| Raspberry PI Foundation |
|
raspberrypi.org | |
| Tulip |
|
tulip.com | |
| Hootsuite |
|
hootsuite.com | |
| Segment |
|
segment.com | |
| Arduino |
|
arduino.cc | |
| Sainsbury's |
|
sainsburys.co.uk | |
| Contraste |
|
contraste.com | |
| inMusic |
|
inmusicbrands.com | |
| Buhta |
|
buhta.com | |
| Amplitude |
|
amplitude.com | |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
## 生态系统
在架构设计方面,我们基于几个指导原则来构建 Ory:
- 最小依赖
- 可在任意环境运行
- 轻松扩展
- 将人为和网络错误的可能性降至最低
Ory 的架构旨在 Kubernetes、CloudFoundry、OpenShift 及类似项目等容器编排系统上实现最佳运行。二进制文件非常小(5-15MB),适用于所有流行的处理器类型(ARM、AMD64、i386)和操作系统(FreeBSD、Linux、macOS、Windows),且没有系统依赖项(如 Java、Node、Ruby、libxml 等)。
### Ory Kratos:身份和用户基础设施及管理
[Ory Kratos](https://github.com/ory/kratos) 是一个 API 优先的身份和用户管理系统,它是根据[云架构最佳实践](https://www.ory.com/docs/next/ecosystem/software-architecture-philosophy)构建的。它实现了几乎每个软件应用程序都需要处理的核心用例:自助登录和注册、多因素身份验证 (MFA/2FA)、账户恢复和验证、个人资料和账户管理。
### Ory Hydra:OAuth2 和 OpenID Connect 服务器
[Ory Hydra](https://github.com/ory/hydra) 是一个经 OpenID Certified™ 认证的 OAuth2 和 OpenID Connect 提供程序,通过编写一个小型的“桥接”应用程序,即可轻松连接到任何现有的身份系统。它让您可以完全控制用户界面和用户体验流程。
### Ory Oathkeeper:身份和访问代理
[Ory Oathkeeper](https://github.com/ory/oathkeeper) 是一个 BeyondCorp/零信任身份和访问代理 (IAP),可为您的 Web 服务提供可配置的身份验证、授权和请求修改规则:验证 JWT、Access Token、API Key、mTLS;检查所包含的 subject 是否有权执行该请求;将生成的内容编码为自定义 header (`X-User-ID`)、JSON Web Token 等!
### Ory Keto:作为服务器的访问控制策略
[Ory Keto](https://github.com/ory/keto) 是一个策略决策点。它使用一组类似于 AWS IAM Policies 的访问控制策略,以确定某个 subject(用户、应用程序、服务、汽车等)是否有权对资源执行特定操作。
## 文档
完整的 Oathkeeper 文档可在 [www.ory.com/docs/oathkeeper](https://www.ory.com/docs/oathkeeper) 获取,包括:
- [安装指南](https://www.ory.com/docs/oathkeeper/install)
- [配置参考](https://www.ory.com/docs/oathkeeper/reference/configuration)
- [HTTP API 文档](https://www.ory.com/docs/oathkeeper/reference/api)
- [访问规则配置](https://www.ory.com/docs/oathkeeper/pipeline)
有关升级和更新日志,请查看 [UPGRADE.md](./UPGRADE.md) 和 [CHANGELOG.md](./CHANGELOG.md)。
## 开发 Ory Oathkeeper
有关以下方面的信息,请参阅 [DEVELOP.md](./DEVELOP.md):
- 贡献指南
- 先决条件
- 从源代码安装
- 运行测试
- 构建 Docker 镜像
## 安全性
### 披露漏洞
如果您认为自己发现了安全漏洞,请避免在论坛、聊天室或 GitHub 上公开披露。您可以在我们的 [security.txt](https://www.ory.com/.well-known/security.txt) 中找到有关负责任披露的所有信息。
## 遥测数据
我们的服务收集经过汇总的匿名数据,您可以选择将其关闭。点击[此处](https://www.ory.com/docs/ecosystem/sqa)了解更多信息。标签:API网关, BeyondCorp, CISA项目, EVTX分析, Go语言, IAP, JSONLines, OAuth2, OpenID Connect, Ory Oathkeeper, Streamlit, 反向代理, 子域名突变, 安全策略, 提示词设计, 日志审计, 程序破解, 网络安全, 访问控制, 请求变异, 请求拦截, 身份与访问代理, 身份授权, 隐私保护, 零信任